Close
Herkese merhaba Splunk’ı tanımaya ve öğrenmeye devam ediyoruz.
Serinin yeni makalesi Reports, Alerts ve Dashboards üzerine olacak.
Bir önceki makaleme buradan ulaşabilirsiniz.
Reports, Alerts ve Dashboard terimlerinin kısaca ne anlama geldiğini öğrenerek makalemize başlayalım..
Splunk Reports, arama işlemleri sonucunda elde edilen istatistiklerin ve görselleştirmelerin kaydedildiği raporlardır. Bu raporlar, olayların analiz edilmesi ve sonuçların anlaşılır bir şekilde sunulması için kullanılır.
Alerts, kullanıcı tarafından belirlenen özel kriterlerin karşılanması durumunda tetiklenen eylemlerdir. Bu sistem, belirli olaylar gerçekleştiğinde kullanıcıların uyarılmasını sağlar, böylece hızlı bir şekilde müdahale edilebilir.
Dashboards, log verilerini daha anlaşılır hale getirmek için tablo veya grafikler şeklinde görselleştiren araçlardır. Dashboardlar, büyük veri kümelerini özetleyerek ve görselleştirerek, bilgileri hızlı ve etkili bir şekilde analiz etme imkanı sunar.
Yukarıda bahsettiğimiz terimleri bir senaryo çerçevesinde uygulayarak anlamaya çalışalım.
Senaryo: 5’in üzerinde HTTP 403 Forbidden hatası alan IP’leri büyükten küçüğe sıralayarak getirmesini istiyorum.
HTTP 403, istenen kaynağa erişimin yasak olduğu anlamına gelen bir HTTP durum kodudur. Bu kodun gösterilmesinin anlamı: sunucu isteği anladı, ancak yerine getirmeyecek.
SPL’i yazdıktan sonra karşıma veriler istediğim şekilde geldi.
Sağ üst köşede bulunan Save As’ e tıklayarak Report seçeneğini seçiyoruz.
Title ve Description alanına istediğinizi yazabilirsiniz. Ben Status403_by_ip ve Http 403 hatası alan IP’ler dedim.
Save dedikten sonra karşımaza bir kaç seçenek geliyor. Bunlardan Permissions’a tıklarsanız ;
Permissions alanı,
Owner: Raporu sadece kendimiz görebiliriz.
APP &All apps : Büyük bir şirket çalışanıysanız, çalışma arkadaşlarımızın da bu raporu görüp üzerinde ayarlamalar yapmasını sağlayabilirsiniz.
Genel olarak admin’e write (yazma) diğerlerine ise read (okuma) yetkisi verilir.
Save yaptıktan sonra ana arayüze döndük ve SPL arayüzüne geri geliyoruz.
Üst tarafta bulunan Reports ‘a tıkladığımızda kaydettiğimiz raporlarımıza ulaşabiliyoruz.
Open in Search’e tıklarsak eğer yazdığımız SPL’i görebiliyoruz.
Böylece ne kadar zaman geçse bile raporlarımıza ve yazdığımız SPL’lere ulaşabiliyoruz.
Senaryo: Admin username’i ile 1 dk içersinde 5 defadan fazla başarısız Login girişimi varsa Alert üretmesini istiyoruz.
index=”_audit” : Splunk’da yapılan her işlem kendi bünyesinde index=”_audit” de tutulur.
Report’da yaptığımız gibi sağ üstte bulunan Save As’e tıklayarak bu sefer Alert’i seçiyoruz.
Save diyerek devam ediyorum.
Arayüzdeki Alerts seçeneğinden baktığımda mevcut olarak yeni Alert önümüze geliyor.
Şimdi uygulama vakti;
Senaryomuza göre admin usurname’i ile 1 dk içerisinde 6 defa başarız login işlemi yapalım.
Tetiklenmiş Alert’ler bakmak için;
Activity kısmından Triggered Alerts’e tıklıyoruz.
Karşımıza tetiklenmiş olan Alert’imiz çıkıyor. Log’ları incelemek içinde sağ tarafta bulunan View results seçeneğine tıklıyoruz.
Hangi saatte, hangi ip’le, hangi kullanıcı adıyla login attempts yapıldığını inceleyebiliyoruz.
Senaryo: Web application uygulamamızda en çok sepete eklenen 6 ürünü grafik halinde görmek istiyorum.
SPL’i yazdıktan sonra alt kısımda bulunan Visulazation’a tıklayarak altında bulunan Bar Chart’tan istediğimiz görseli seçebiliyoruz.
Önümüze bir çok görsel çıkıyor istediğimizi seçtikten sonra sağ üstte bulunan Save As tıklıyoruz.
New Dashboard seçeneğine tıklıyoruz.
Report’da olduğu gibi istediğiniz gibi yapılandırabilirsiniz.
Grafiğin üzerine geldiğinizde sağ altta Open in Search ,Export,Inspect ve Refresh ikonları mevcut.
Open in Search ile yazdığımız SPL’ e ve Log verilerine görüyoruz.
SPL derya deniz bir araç, makalemin başlığında dediğim gibi tam bir canavar. Bu analiz canavarını iyi öğrenmek ve kullanmak gerektiğini düşünüyorum. Çünkü ‘Siber güvenlik alanında en zayıf halka, insan faktörüdür’ .
“Bilginin en büyük düşmanı cehalet değildir. Bildiğini zannetme sanrısıdır.“ Stephen Hawking
Şapkan beyazsa kırmızıdan daha önde olmalısın…
