Splunk certbot et Let’s Encrypt App

Splunk certbot et Let's Encrypt

Je continue un peu sur Splunk, ce coup-ci j’ai fait une TA Splunk certbot et Let’s Encrypt. J’en ai eu un peu marre de déboguer les enrôlements certbot sans Splunk. Donc comme la dernière fois, j’ai fait une TA supportant le format de log de certbot actuel (versions 0.28.0). J’ai appliqué la même démarche que pour VSFTPD et fail2ban avec le Splunk Add-on Builder.

CLI Packaging

A la nuance qu’au moment de publier, j’ai fait l’update vers Splunk 8 qui m’a cassé le Add-on Builder… du coup j’ai du terminer en mode fichier et faire mes dernières modifs en mode CLI et par exemple packager avec :

./splunk package app TA-certbot

TLDR, elle est où cette TA Splunk certbot et Let’s Encrypt ?

Comme d’habitude, vous la trouverez sur la Splunkbase :

https://splunkbase.splunk.com/app/4758/

Modification de Limits.conf

Notez qu’il y a un configuration spécifique pour cette app. La regex que j’utilise est « un peu violente » (cf. explications ci-dessous). Du coup pour quelle soit fonctionnelle, il se peut (mais à priori ça marche quand même sans) que vous deviez modifier votre fichier limits.conf et rajouter le stanza suivant :

[rex]
depth_limit = 100000

Ce réglages permet d’augmenter la récursivité … Lire la suite

Déployer un site Jekyll avec Nginx

Jekyll avec Nginx

Salut à tous, aujourd’hui on va s’intéresser aux générateurs de sites dit « statiques » et plus particulièrement comment déployer un site Jekyll avec Nginx(avec le thème beautiful-jekyll). Et oui, je sais ça fait 10 ans que cette techno est sortie, mais moi j’en ai pas eu besoin jusqu’ici hein…^^

C’est quoi un « site statique » ?

Un site statique, par opposition à un site dynamique, est un site ou le serveur web n’exécute pas de code lors des requêtes du client. Exit : PHP, Node-JS ou Django, en gros le serveur se contentera de servir des fichiers statiques de type HTML, JavaScript et CSS.

C’est quoi l’intérêt ?

Les CMS comme WordPress, Drupal ou encore Joomla qui vous permettent de construire vos sites grâce à des interfaces web avec des sous-parties réservées à l’administration et à l’édition de vos textes, images, etc. Les sites statiques à contrario, doivent être générés (et transférés si besoin) sur le serveur à chaque mise à jour, puisque lors des appels clients, votre serveur web ne fera que renvoyer des fichiers et n’exécutera aucun code.

En contrepartie de cette perte de fonctionnalités, vous obtenez en gain non négligeable sur les éléments suivant :… Lire la suite

Exemples de dashboards Splunk – Demo time

Splunk Logo

Salut à tous, j’ai joué un peu avec Splunk ces derniers temps, et j’ai fait des jolis tableaux de bord pour le site et le serveur. C’est un peu un point d’étape après toute la série d’article que je vous ai fait sur Splunk. Du coup aujourd’hui pas de notions compliquées : juste des jolies images exemples de dashboards Splunk et deux vidéos dont je suis content (et merci à Grégoire pour le coup de main !)

Exemples de dashboards Splunk

fail2ban

exemples de dashboards Splunk fail2ban
Splunk Fail2ban bashboard

Ce petit dashboard est issu des travaux pour la TA de fail2ban. Les stats affichés ici sont pour 24h. J’ai refait quelques stats, on tombe sur une moyenne d’environ 500 IP différentes bannies par jour.

Vous noterez aussi les pays sources des tentatives : Chine et USA en tête, mais que la France se place en 3ème position. Signe qu’on est pas si mauvais que ça en sécurité informatique ? je vous laisse décider…

Nginx

exemples de dashboards Splunk nginx
Splunk nginx dashboard

Celui-ci sur la partie serveur web, je trouve qu’il permet de bien voir les pages du site qui fonctionnent. On voit aussi le nombre d’IP uniques qui requêtent le site (tous ne sont pas des … Lire la suite

TA pour fail2ban, ma nouvelle App Splunk

Splunk Logo

Salut à tous, il y a quelques temps je vous ai proposé une App Splunk pour gérer les logs de VSFTPD et cette semaine j’ai réalisé une TA pour fail2ban. On va profiter de l’occasion pour s’attarder sur la structure d’un App Splunk en détaillant le contenu.

Pour ceux qui débarque la précédente App fail2ban proposée sur la splunkbase ne fonctionne pas, date de 2013, et n’est notée compatible qu’avec Splunk 6… Plus exactement, le format de log qu’elle supporte ne correspond plus du tout avec celui de fail2ban en 2019…

Du coup, j’ai fait une TA supportant le format de log de fail2ban actuel (testé sur les versions 0.9.6 et 0.10.2). J’ai appliqué la même démarche que pour VSFTPD et créé l’App via le Splunk Add-on Builder. Je vous laisse rejeter un œil à mon précédent article si vous voulez savoir comment on fait pour développer une App dans Splunk.

« TLDR », elle est où ta TA pour fail2ban ?

Comme celle pour VSFTPD, mon Technology Add-on Splunk pour Fail2ban est sur la Splunkbase. Enjoy !

Regex d’analyse des logs fail2ban

Il y a un élément dans le travail que j’ai fait pour cette App … Lire la suite