Close
Bu makalemizde en çok kullanılan açık kaynak SIEM araçlarından biri olan Splunk’ın, ilk makalesi olarak hem kurulumunu hem de arayüzünün nasıl kullanıldığını uygulayarak sizlere anlatacağım.
Splunk, uygulamalardan, sunuculardan ve ağ cihazlarından makine tarafından oluşturulan verileri toplayan, indeksleyen — analiz eden SIEM ve Log Yönetimi konusunda global olarak bilinen ve kullanılan bir üründür diyebiliriz.
Splunk’ın Enterprise (kurumsal), Splunk Cloud ve Free (ücretsiz) olmak üzere üç sürümü mevcuttur.
Free (ücretsiz) sürümü günlük 500 MB’a kadar veri indekslemesi mümkündür.
İlk olarak https://www.splunk.com/ adresine giderek sağ üst köşede bulunan Free Splunk butonuna tıklıyorum.
Kırmızı çizgiyle belirttim
Ve karşımıza gelen formu doldurarak indirme sayfasına erişiyorum..
Kullandığımız işletim sistemine göre uygun sürümü indiriyoruz.
Ben Windows üzerinden bir kurulum yapacağım.
İndirdiğimiz kurulum dosyamızın üstüne çift tıklayarak işleme devam ediyoruz.
Lisans anlaşmasını kabul ettiğimizi işaretleyerek ilerliyoruz. Karşımıza Splunk’a bağlanmamız için kullanıcı adı ve parola girmemiz gerekiyor.
Next dedikten sonra kurulum için Install’u işaretliyoruz ve kurulum gerçekleşiyor.
Finish diyerek kurulum işlemimizi bitiyoruz. Sistem bizi Splunk‘a yönlendiriyor.
Doğrudan http://127.0.0.1:8000 üzerinden Splunk’a bağlandık fakat Local host ile de bağlanabilirsiniz.
Kullanıcı adı ve parolayı girerek Splunk arayüzüne geçiş yapıyoruz.
Bizi Splunk arayüzü karşılıyor. İncelemeye başlayalım.
Splunk’ımızda hali hazırda Log akışı olmadığı için Splunk’ın öğrenmemiz için verdiği Log’ları yükleyerek nasıl Data ekleyeceğimizi anlatacağım.
Data’ları yüklemek için Add Data seçiyoruz.
Karşımıza çıkan ekranda Upload’ı seçerek yukarıda belirttiğim gibi Log dosyalarının aktarımını gerçekleştireceğiz.
Select File’ı seçerek Log dosyalarına ulaşıyorum.
Sırayla 3 Log dosyasını da aktarma işlemi yapacağım fakat aynı şekilde aktaracağım için sadece bir tanesi (access_30Day.log isimli dosya) üzerinden uygulamalı olarak göstereceğim.
Dosyayı yükledikten sonra Next’e tıklıyoruz.
Karşımıza Log’ların düştüğünü görüyoruz. Next diyerek devam ediyoruz.
Host field value kısmını web_application olarak düzeltiyorum. Index Default olarak kalıyor ve Review diyorum.
Submit diyerek yükleme işlemini bitiriyoruz.
Başarılı bir şekilde yükleme işlemeni gerçekleştirdik. Başka Log dosyalarını da yüklemeye devam etmek için Add More Data yaparak yukarıda gösterdiğim yollarla yükleyebiliriz. Peki yüklemiş olduğumuz Log’larımızı nasıl göreceğiz ?
Splunk ana arayüzünde bulunan Search & Reporting’den yüklemiş olduğumuz Log’larımıza erişebiliyoruz.
Data Summary
Data Summary kısımdan yüklemiş olduğumuz Log verilerini görüyoruz.
Sadece bir tanesi olan web_application üzerinden gideceğim.
User Activity Log’ları karşımıza geldi.
User Activity Log, bir örnekle açıklamak gerekirse ürün satışı yapan bir web uygulamasında kullanıcının ürün satın alması, ürünü sepete eklemesi, sayfada gezinmesi, hata alması yani her hareketinin kayıt altına alınması diyebiliriz.
Diğer panellerin kullanımı kısaca sizlere aktaracağım. Bu kısım için renkler kullandım..
Kırmızı:
Menü bar: Arama bölümüne, Raporlara, Uyarılara ve Data kümelerine ulaşmamızı sağlar.
Yeşil:
Arama Kutusu: Splunk’ın temelinde SPL (Search Processing Language) vardır. SQL diline benzerliğinin yanı sıra Unix pipe ( | ) özelliğini de bünyesine katarak genelden özele sorgu sonuçları daraltarak iç içe sorgular yazabilirsiniz.
SPL, herhangi bir veriyi aramamıza, analiz etmemize ve görselleştirmemize olanak sunan 140'ın üzerinde komut sunan bir dildir ve öğrenilmesi kolaydır.
Sarı:
Tarihsel kısıtlama yaparak sonuçları daraltmamızı sağlar.
Lacivert:
Mod Ayarı: Aramanın döndürdüğü veri miktarını veya türünü kontrol ederek arama performansınızı en iyi hale getirir. Üç ayrı mod vardır;
Mor:
Buradan Splunk dokümantasyonlarına ve eğitici örneklere erişebilirsiniz.
https://docs.splunk.com/Documentation
Turkuaz:
Daha önce yaptığımız sorguları ve sorgulama tarihini görmemizi sağlar. “Add to search” diyerek sorgularımızı tekrar kullabiliriz.
Analiz canavarı olarak isimlendirdiğimiz Splunk’ın kullanımı tabii ki bu kadar değil. Splunk serisinin ilk makalesi olarak data yükleme ve arayüz panellerini tanıtmaya çalıştım. Serinin devamında yüklemiş olduğum Log’ların nasıl analiz edildiğini ve bunu yaparken hangi panellerin kullanıldığını sizlere uygulayarak anlatacağım.
Şapkan beyazsa kırmızıdan daha önde olmalısın…
