Universal Forwarder de Splunk - UF El agente Universal Forwarder de Splunk colecta información de las fuentes de datos en la plataforma instalada y envía este stream hacía la plataforma Splunk Enterprise para su explotación, minería de datos, correlación, funciones SIEM, generación de reportes, alertamiento y monitoreo proactivo/reactivo de información masiva tanto estructurada como poco-estructurada.
Instalación del Universal Forwarder Descarga El software para la instalación del Universal Forwarder en una plataforma AIX se encuentra en el siguiente link: https://www.splunk.com/en_us/download/universal-forwarder.html#tabs/aix
El paquete a instalar se descargará como un archivo tipo tar. El directorio default de instalación es el siguiente: /opt/splunkforwarder.
Para su descarga es necesaria una cuenta de splunk.com.
IMPORTANTE: La versión a descargar del Universal Forwarder de Splunk debe de ser la misma a la versión de Splunk Enterprise a la que se conectará. Descomprimiendo el paquete UF Es recomendable utilizar el software tar del paquete de utilerías GNU incluido en el paquete AIX Toolbox for Linux Applications que está presente en una instalación básica de la plataforma AIX. Si la plataforma AIX NO CONTIENE el paquete tar de GNU, es posible descargarlo e instalarlo siguiendo el link correspondiente:
Asignando Permisos Es necesario garantizar que el usuario con el cual se ejecutará el agente Universal Forwarder de Splunk, tenga acceso de lectura (read access) a los siguiente dispositivos:
/dev/random /dev/urandom
Es posible garantizar esto utilizando el comando:
head -1 /path/to/file 2>&1 > /dev/null | grep 'Permission denied’
Expansión TAR Una vez garantizado los permisos anteriormente mencionados, para expandir el archivo se utilizan los siguiente pasos:
cd /opt/ tar xvzf splunkforwarder-8.0.4-767223ac207f-AIX-powerpc.tgz
Si se requiere la instalación del agente en un directorio diferente al default (/opt) considerar modificar el paso anterior con el debido directorio. Como standard el directorio de instalación en el cual se descomprimió el software se le denomina $SPLUNK_HOME. Por default $SPLUNK_HOME = /opt/splunkforwarder Ejecución del agente Habilitar el Auto-Start para ejecución en Boot Time.
Es posible habilitar la ejecución automática del agente Universal Forwarder cada vez que se inician/re-inician los servicios y procesos de la plataforma AIX. Esta opción NO ESTA HABILITADA POR DEFAULT, por lo que los siguientes pasos indican su configuración:
Para habilitar la opción de Auto-Start, ejecutar el siguiente comando:
$SPLUNK_HOME/ bin/splunk enable boot-start
Por default el script que habilita el Auto-Start contiene el siguiente comando:
mkssys -G splunk -s splunkd -p <path to splunkd> -u <splunk user> -a _internal_exec_splunkd -S -n 2 -f 9
El comando anterior invoca la utilidad de System Resource Controller (SRC), la cual se encarga de manejar los servicios y procesos que se habilitan al inicio de la plataforma y su arranque automático.
Iniciar/Detener el Servicio de Universal Forwarder de Splunk con Auto-Start habilitado Si se habilita el servicio de Auto-Start, el servicio de Universal Forwarder se debe de iniciar/ detener con los siguientes comandos:
Iniciar el Servicio
- /usr/bin/startsrc -s splunkd
Detener el Servicio
- /usr/bin/stopsrc -s splunkd
Si se ejecuta el servicio de la forma convencional con el comando $SPLUNK_HOME/bin/start o $SPLUNK_HOME/bin/stop el servicio SRC de AIX interrumpirá el comando de start/stop y arrojará un mensaje de error: Splunk boot-start is enabled. Debera usar/usr/bin/[startsrc|stopsrc] -s splunkd to [start|stop] Splunk. Para poder utilizar los comandos convencionales de start/stop del servicio es necesario deshabitar la opción de Auto-Start con el comando: $SPLUNK_HOME/bin/splunk diable boot-start Iniciar el Servicio de Universal Forwarder de Splunk con Auto-Start NO HABILITADO Con la opción Auto-Start deshabilitada, los comandos usuales de Splunk Enterprise para iniciar/parar el servicio pueden ser utilizados:
Iniciar el Servicio
- $SPLUNK_HOME/bin/start
Detener el Servicio
- $SPLUNK_HOME/bin/stop
Glosario A continuación se muestra una lista de comandos para desplegar los pasos necesarios para instalar/agregar un AIX como Universal Forwarder en una instancia de Splunk.
ip_client = IP del servidor AIX hostname_client = Hostname del AIX como Universal Forwarder ip_indexer = IP del indexer al cual el Universal Forwarder enviará logs.
hostname_indexer = Hostname del indexer al cual el Universal Forwarder enviará logs. ip_depoy_server = IP del Deployment Server que administrará al AIX Universal Forwarder. hostname_deploy_server = Hostname del Deployment Server que administrará al AIX Universal Forwarder.
dir_install = Directorio en el cual se instalará el paquete Universal Forwarder.
$SPLUNK_HOME = Directorio en el cual reside la plataforma Splunk Universal Forwarder, ej. /opt/splunkforwarder. También e puede referenciar como
dir_install/splunkforwarder. username = Nombre del usuario con el cual se instalará el agente y se ejecutará este. uf_splunk_username = Usuario administrativo del Splunk Universal Forwarder. uf_splunk_password = Password del usuario administrativo del Splunk Universal Forwarder (Pass de uf_splunk_username). Desplegando el Agente Revisión de las versiones a instalar
Se recomienda instalar el agente de Universal Forwarder con la misma versión que la instancia de Splunk a la cual enviará logs. En este caso tomaremos como guía la siguiente versión: Version 8.0.4.
Tomaremos como ejemplo el siguiente paquete: splunkforwarder-8.0.4-767223ac207f-AIX-powerpc.tgz
Verificar usuario y permisos.
Es necesario revisar los permisos del usuario que ejecutará el Universal Forwarder para una correcta configuración. Con el usuario ejecutar los siguientes comandos para su verificación.
tail /dev/random tail /dev/urandom
Si cualquiera de los comandos anteriores despliega problemas con permisos en los archivos es necesario considerar otro usuario con un mayor rango de permisos.
Se debe de revisar los permisos del directorio en el cual se instalará el agente. Como default se utiliza el directorio /opt pero como una revisión anterior también se recomienda el directorio /users/username.
Descomprimir el paquete.
Es recomendable utilizar el paquete GNU tar para descomprimir el paquete en su ubicación deseada; sin embargo, también es posible utilizar el paquete local por default tar.
Para verificar la version de tar instalada se pueden utilizar los siguientes comandos: Para verificar la disponibilidad de la utilidad GNU tar. 1. Comando:
tar -—version
La salida esperada, si no se despliega como tal no esta instalada la utileria:
tar (GNU tar) 1.14 ...
Descomprimir el archivo. Se generará la carpeta splunkforwarder en el dir_install.
GNU tar.
cd dir_install ; tar -xvzf splunkforwarder-8.0.4-767223ac207f-AIX-powerpc.tgz
AIX tar por default
cd dir_install ; gunzip -c splunkforwarder-8.0.4-767223ac207f-AIX-powerpc.tgz | tar xvf -
Modificar el tamaño de memoria y el número de procesos para usuario local.
Se deben de modificar los limites de tamaño de memoria y número de procesos solo para el usuario que ejecutará el agente Splunk Universal Forwarder. Revisar si existe un impacto en los servicios instalados en el mismo servidor AIX.
ulimit -m unlimited ulimit -u unlimited
Aceptar la licencia de Splunk Como primera instalación es recomendable aceptar primero la licencia de Splunk antes de iniciar el agente.
$SPLUNK_HOME/bin/splunk status
Iniciar el agente Universal Forwarder de Splunk Es necesario revisar si el agente se ejecuta de manera correcta. Si no es así, favor de contactarnos para brindar el adecuado soporte.
$SPLUNK_HOME/bin/splunk start
Si la instalación fue efectiva, el sistema pedirá introducir un usuario administrativo de la plataforma Splunk Universal Forwarder. Favor de introducir la información necesaria
uf_splunk_username uf_splunk_password
Verificar estado de la instalación. Con el siguiente comando se puede verificar si el iniciar el agente fue efectivo.
$SPLUNK_HOME/bin/splunk status
Ejemplo de salida si se ha ejecutado correctamente:
splunkd is running
Configurar el envío eventos hacia un Splunk Indexer Una vez instalado correctamente el agente, es necesario enviar la información colectada por el Universal Forwarder hacia un Splunk Indexer. El puerto a utilizar por default es el 9997, verificar su configuración.
$SPLUNK_HOME/bin/splunk add forward-server ip_indexer:9997 -auth uf_splunk_username:uf_splunk_password
Verificación del envío de logs
$SPLUNK_HOME/bin/splunk list forward-server -auth uf_splunk_username:uf_splunk_password
Configurar Universal Forwarder como Splunk Deployment Client Es necesario verificar el nombre del Splunk Universal Forwarder de forma que el Deployment Server pueda identificarlo de forma correcta. Por default se toma el GUID del servidor; sin embargo, es posible asignar un nombre modificando la siguiente información.
cd $SPLUNK_HOME/etc/system/local
crear y/o editar el archivo
deploymentclient.conf
Ingresar la siguiente información con los atributos apropiados
[deployment-client] clientName = hostname_client
Para la correcta administración del Universal Forwarder desde una consola central de Splunk es necesario configurar la instancia como Deployment Client que reportará y será configurado desde un Deployment Server. Como puerto por default se utiliza el 8089, verificar su configuración.
$SPLUNK_HOME/bin/splunk set deploy-poll ip_deploy_server:8089 -auth uf_splunk_username:uf_splunk_password
$SPLUNK_HOME/bin/splunk restart -auth uf_splunk_username:uf_splunk_password
http://docs.splunk.com/Documentation/Forwarder/8.0.4/Forwarder/Installanixuniversalforwarder#Install_the_universal_forwarder_on_AIX
https://www.ibm.com/support/pages/aix-toolbox-linux-applications-downloads-alpha
https://www.splunk.com/en_us/download/universal-forwarder.html#tabs/aix
https://www.splunk.com/page/previous_releases/universalforwarder#ppcaix
http://docs.splunk.com/Documentation/Forwarder/8.0.4/Forwarder/Abouttheuniversalforwarder
https://www-01.ibm.com/support/knowledgecenter/#!/ssw_aix_71/com.ibm.aix.genprogc/src.htm
http://publib.boulder.ibm.com/infocenter/pseries/v5r3/index.jsp?topic=/com.ibm.aix.cmds/doc/aixcmds3/mkssys.htm
Comments