Splunk Peer Configuration.

A inicio de esta semana me consultaban, sobre "¿como puedo configurar un peer de búsqueda en Splunk?" la respuesta puede ser bastante sencilla y documentada, solo tienen que dar de alta un peer desde el Search Head  ir a Settings>Distributed environment>Distributed search>Search peers>New Search Peer

Cual es el contexto de esto, tienen un Indexer en un Datacenter y un Search Head en otra ubicación geográfica, los mas simple es configurar una VPC  y se podrán emparejar las instancias de Splunk, por lo que deberemos de ver logs inmediatamente. Si esto no se presenta, toca hacer Troubleshooting.     

Al parecer un tema de comunicaciones, desde el Search Head.

- Intentar llegar desde tu lan a la web de indexer.

- Configurar NTP para que estén sincronizados los equipos.

- Intentar llegar por telnet al 9997 y 8080.

- Tema de permisos de SO (iptables).

- Si lo anterior se intentar hacer un curl.

- Alcanzaste desde tu LAN (o la del SH) el Indexer.

- Lograste conectar por telnet 99997 y 8080 ida/vuelta.

- Asigna el rol de admin al índice en cuestión en IDX y SH.

A nivel Splunk:

• Permisos de usuario en search head para leer todos lo non_internal index

• Permisos de usuario en el indexer para hacer remote searches

A nivel usuario:

• Los tiempos de búsqueda, por las horas de indexado, ya sabes cuando tus logs tiene una fecha y el server otra.

• Configuración de los peer en el seach head validar estado up.

La consultoría  ayuda a obtener un tiempo de valor más rápido.

Para muchas organizaciones, Splunk proporciona información sobre datos literalmente nunca antes vistos. Puede ser muy difícil y lento para un administrador de SIEM revisar de manera efectiva estos registros y tomar una decisión sobre qué datos son relevantes, dónde radica el valor en esos datos y qué datos podrían eliminarse por completo de Splunk. Utilizando su experiencia analizando grandes conjuntos de datos y un amplio conocimiento del dominio, los consultores certificados de los partners de servicios profesionales de Splunk pueden ayudar a su administrador de Splunk a encontrar el valor oculto en sus datos en cuestión de horas en lugar de semanas.

Por ejemplo, un nuevo administrador podría incorporar datos de seguridad de Windows desde un controlador de dominio para analizar el uso de las cuentas por ejemplo. si no han realizado logon en los últimos 30 días y deshabilitar la cuenta o 90 días para eliminarla según  el compliance. Como nunca antes había visto los registros de seguridad de Windows presentados en gran volumen, es probable que este administrador pase días tratando de identificar todos los códigos EventCode de eventos relacionados con la actividad en cuestión y tal vez incluso una cantidad de tiempo aún mayor desarrollando búsquedas apropiadas para mostrar, alertar e informar sobre esta información. Con la ayuda de la consultoría de servicios profesionales de Splunk, su administrador puede ver  rápidamente el valor de sus datos.

Sacar ventajas a las características y funcionalidades avanzadas de Splunk que quizás no esté aprovechando.

Una vez que los clientes adquieren y tienen en funcionamiento la solución, los administradores de Splunk a menudo no pueden identificar oportunidades para mejorar la eficiencia. Por ejemplo, un nuevo administrador de Splunk puede no comprender que todos los correos electrónicos de alerta de monitoreo que son generados por Splunk que podrían abrir tickets en ServiceNow directamente y asignar dinámicamente a los usuarios definidos.

Los servicios de consultoría de Splunk brindados por un partner calificado de servicios profesionales de Splunk brindan un conocimiento de alto valor y pueden transmitir la experiencia de usar Splunk e implementar Splunk para otros clientes y llevar esa experiencia del producto a su organización.