Splunk op Windows Server
  • Introduction
  • Group Managed Service Accounts
  • Splunk
  • Topologie
  • gMSA aanmaken
  • GPO's
  • Splunk installatie
  • Let's get splunky
  • Splunken met Grote Splunk
  • Splunky Splunky how about a big hand now
Powered by GitBook
On this page
  • Local Monitoring
  • Zijn eigen logs bekijken
  • De lokale Windows logs importeren
  • Een directory met logs monitoren
  • Remote Monitoring
  • Splunk universal forwarder op Windows

Was this helpful?

Let's get splunky

PreviousSplunk installatieNextSplunken met Grote Splunk

Last updated 5 years ago

Was this helpful?

We zullen een aantal dingen beginnen monitoren om een paar opties te zien van deze tool.

Local Monitoring

Zijn eigen logs bekijken

Het ziet er allemaal leeg uit, normaal gezien heeft Splunk al wel een paar "log events" in zijn database zitten, namelijk die van zichzelf.

Via "search and reporting"

Kom je bij search uit.

Als je daar vervolgens reeds de query uitvoert, dan kan je al enkele logs zien.

index="_internal"

De lokale Windows logs importeren

Waarom dingen dubbel doen!

Erna kan je deze data source altijd terugvinden onder de "data summary" knop.

Een directory met logs monitoren

Je kan ook vragen om folders te monitoren. Dit zal handiger zijn op een Linux machine, maar je kan ook makkelijk de oefening doen voor Windows door de "diagnostics" directory te monitoren.

Kies Files & Directories

Ga naar het juiste pad

Werk af met next next, submit (let niet op het verkeerde pad in deze screenshot)

En je hebt een eerste parsing van de diagnostics directory. Het ziet er nog wel wat rommelig uit, maar je merkt al wel dat Splunk probeert intelligent te parsen.

Remote Monitoring

Om Splunk informatie van een remote server binnen te krijgen moet je een "forwarder" instellen. Je hebt 2 soorten:

  • Een heavy forwarder: dit is eigenlijk een volledige splunk installatie met een speciale licentie.

  • Een universal forwarder: dit is eerder een lightweight "agent"

Deze forwarders sturen dus hun informatie naar de Splunk server (receiver genoemd).

Splunk universal forwarder op Windows

Download de universal forwarder van de Splunk-website (je moet inloggen) en kopÏeer ze naar je Windows Domain Controller (we zullen deze als forwarder gebruiken).

Het volgende mag je leeglaten

Zie dat de service draait.

De data zou moeten binnenkomen bij de data summary

Et voila!

In plaats van screenshots te plaatsen en een uitleg te geven, link ik gewoon naar , gemaakt door Splunk zelf! Let er wel op dat je geen flash blokkeert.

Hoe je de Splunk receiver instelt op de server en hoe je een Linux forwarder instelt, zie je in , door Spunk zelf gemaakt. Hieronder enkele screenshots over hoe het in Windows te doen. Hint: het is geen next-next-finish

Voer de installer uit en heel belangrijk: kies voor customize! De eerstvolgende schermen mag je "next" klikken totdat je bij de belangrijke opties komt. Deze had je anders manueel in een config file moeten aanpassen of via commandline bijwerken. Ik neem een aantal zaken uit de event logs, alles uit de performance monitor en de AD monitoring.

En als laatste, vul je het IP-adres in van je splunk server (de receiver), samen met de poort waarop deze aan het luisteren is.

deze tutorial
dit filmpje