30 avril 2012

Dans le journal d’un splunker, je me lance à la découverte Splunk et vous fais partager mes avis et impressions. Au programme d’aujourdhui, découverte de l’interface web.

Vous avez raté l’épisode précédent ? Rendez-vous sur Journal d’un Splunker : Day 1.

 

Je viens de lancer la commande magique, j’ai accepté la licence, Splunk est installé. Un petit message m’annonce que l’interface web est désormais accessible. Je pointe mon navigateur favori vers mon serveur Splunk sur le port 8000 et là … ça marche pas.

Les ennuis commencent, jusqu’ici tout se passait pour le mieux, c’était trop beau pour être vrai. Je jette un œil à ma console, aucun message d’erreur visiblement. Je fais quelques petits tests et je me dis que si j’ouvrais le port 8000 sur mon firewall ça pourrait aider. Effectivement, c’est radical, l’interface web de splunk s’affiche, je me connecte et je change le mot de passe par défaut. J’ai l’impression que ce serveur pourrait rester dans mon réseau quelques temps, autant commencer à le sécuriser dès maintenant. Tant que j’y suis, je force aussi le https pour mon interface, ça c’est fait !

Je remarque tout de suite une première application*  sur la page d’accueil. « Getting Started », un tutoriel pour découvrir rapidement Splunk. C’est clair, précis et parfaitement adapté pour un débutant comme moi. Je prends donc une trentaine de minutes pour lire et découvrir l’interface web de la solution.

 

Après ces quelques explications, j’ai compris le principe. On commence par envoyer des logs vers Splunk (flux réseau, fichiers, scripts ou logs transmis par un autre serveur Splunk.), on les indexe et on les manipule ensuite. Recherches, reporting, alerting, je suis pressé de tester ça !

 

Pendant ma visite de l’interface je découvre la possibilité de télécharger des applications toutes faites, directement depuis l’interface web. Les options d’authentification semblent également intéressantes, le couplage avec un AD / LDAP et une segmentation des rôles poussée en fonction de l’appartenance à tel ou tel groupe d’utilisateurs par exemple. Je vois aussi des fonctionnalités qui semblent plus avancées. Fields, Tags, Event types, Advanced Searches, Distributed Search … certes c’est le jargon Splunk mais les quelques lignes explicatives donnent une bonne idée des possibilités de la solution. Je garde ça pour la suite, commençons par le commencement.

 

Avant d’en arriver là, je vais entrer dans le vif du sujet et voir ce que Splunk a vraiment dans le ventre. En guise de premier test, je configure deux équipements que j’ai sous la main pour qu’ils envoient leurs logs vers mon serveur Splunk. Pour faire simple, je commence avec un firewall Fortinet et une passerelle VPN SSL Juniper Secure Access.

 

* Splunk fonctionne en utilisant des applications indépendantes qui permettent de manipuler les données. La principale application est « Search », comme son nom l’indique, elle permet d’effectuer des recherches dans l’ensemble des logs indexés. Il existe un grand nombre d’applications qui proposent des recherches, des mises en forme, des rapports et bien plus. Elles peuvent être réalisées directement par Splunk en collaboration avec l’éditeur d’une solution ou par n’importe quel utilisateur pour répondre à un besoin spécifique. En ce sens, chacun peut imaginer et créer sa propre application pour traiter les logs d’une application personnelle par exemple.

 

L’article suivant est paru, vous pouvez le consulter dès maintenant. Pour cela, rendez-vous sur Journal d’un Splunker : Day 3.

 

Partager :

Auteurs