App Splunk : développer un TA pour VSFTPD

Splunk Logo

Salut à tous, j’espère que vous avez passé des bonnes vacances ? Aujourd’hui on continue la série d’article sur Splunk et on va intégrer des logs dans Splunk sans utiliser une application existante. On va développer notre propre App Splunk de type « TA » pour intégrer des logs VSFTPD. La documentation officielle de Splunk sur le sujet est ici et .

C’est quoi une « App » Splunk déjà ?

Techniquement, une App Splunk est un ensemble d’éléments Splunk parmi des scripts, rapports, commandes de recherche, d’entrées de données, de sourcetypes, de lookups, d’alertes, etc. packagés ensemble pour une technologie ou un cas d’usage spécifique dans le but de faciliter la vie des utilisateurs, opérateurs ou des admins.

Dans ces Apps, vous entendrez aussi parler d’Add-on de Splunk, il s’agit également d’applications au sens technique, mais dépourvu d’interface graphique.

Et encore parmi ces Add-on, on trouve encore les « TA » (pour « Technology Add-on ») qui sont des Add-on spécialisés dans la collecte, l’analyse et la normalisation (au sens CIM) de sources de données particulières pour aider à leur intégration dans Splunk. Si vous vous souvenez, mes TP Splunk sur Nginx et iptables se basaient sur … Lire la suite

Intégrer des logs Nginx dans Splunk

Splunk Logo

Salut à tous, voici le second article de la série sur Splunk et aujourd’hui on va voir comment intégrer des logs Nginx dans Splunk, et ce qu’on peut en tirer dans un dashboard simple. Je vous invite à jeter un coup d’œil à mes précédents articles concernant Nginx du coup.

Apps Splunk pour NGINX.

Splunk propose un Add-on spécifique pour logs NGINX, vous pouvez le télécharger ici, mais aussi suivre la documentation . On ne va pas s’embêter à définir notre propre format de données et on va utiliser le leur directement. Depuis la page d’accueil commencez par cliquer sur l’engrenage à côté de Apps :Intégrer des logs Nginx dans SplunkPuis, cliquez sur installer « l’App » à partir du fichier.

Intégrer des logs Nginx dans Splunk

Et téléversez sur votre serveur le fichier splunk-add-on-for-nginx_100.tgz que vous avez préalablement téléchargé sur votre machine.

Intégrer des logs Nginx dans Splunk

Il vous faudra enfin redémarrer Splunk, soit en ligne de commande, soit directement depuis l’interface.Intégrer des logs Nginx dans SplunkLe message indique le plugin s’est installé correctement.

Intégrer des logs Nginx dans Splunk

Configurer NGINX avoir des logs au format attendu par Splunk.

L’Add-on Nginx supporte le format de logs par défaut de Nginx mais propose aussi une configuration de format de journaux plus complète, avec l’explication suivante :

« The Splunk Add-on for

Lire la suite

Installer Splunk Free sur Debian 9

Splunk Logo

Salut à tous, ce post est le premier d’une séries d’articles autour de Splunk dans le cadre de la supervision de Geekeries.org. On y parlera sécurité, monitoring ou encore log management. L’objectif est de vous montrer ce qu’il est possible de faire de vos logs juste avec la version gratuite de l’outil. Et pour ceux qui se posent la question : non, ce n’est pas sponsorisé, et je suis absolument libre de vous dire ce que je veux du soft. Splunk est simplement en train de devenir un outil de plus en plus important de nos jours en sécurité et en informatique en général (même s’il a des alternatives). Ça vaut donc la peine de se faire quelques tutoriels sur ce dernier, ne serait que pour vous donner une idée de ses capacités. Aujourd’hui on va simplement voir comment installer Splunk Free sur Debian 9.

Splunk c’est quoi ?

C’est logiciel de recherche, suivi et d’analyse de données machines il permet la collecte, l’indexation et la corrélation de données en temps réel dans des archives « recherchables », permettant de générer des graphiques, des rapports, des alertes, des tableaux de bord et des infographies. Wikipédia et le site de Lire la suite

Tor hidden service : site web accessible en DNS onion

site web accessible en DNS onion

Bonjour à tous, aujourd’hui je vous explique comment on fait pour rendre un site web accessible en DNS onion sur le réseau TOR. C’est assez simple à réaliser techniquement parlant, et ça ne sert pas à grand-chose si votre site est par ailleurs accessible depuis Internet normalement. Mais bon « because we can » après tout…

Hidden (& Dangerous) Service

Donc je suppose que vous avez déjà un site web configuré qui sert en HTTP et éventuellement HTTPS sur une machine accessible avec une IP publique. Voici la procédure pour rendre accessible un site web accessible en tant qu’hidden service TOR.

Commencer par installer Tor sur votre serveur.

# apt-get install tor

Vous devez ensuite indiquer dans le fichier de configuration du Tor qu’il doit annoncer un hidden service.

# vim /etc/tor/torrc

Puis dé-commenter et configurer les lignes suivantes :

#HiddenServiceDir /var/lib/tor/geekeries_org/
##HiddenServicePort 80 127.0.0.1:80
##HiddenServicePort 443 127.0.0.1:443

Le nom de votre hidden service Tor se trouve dans le fichier /var/lib/tor/geekeries_org/hostname. Redémarrer le service tor et ce dernier devrait être accessible immédiatement depuis un navigateur TOR correctement configuré.

Hidden Service Name à la carte

Il est possible de personnaliser un nom de service en « .onion » avec … Lire la suite