Splunk App for Active Directory kurulumu

Splunk'u giderek seviyorum ama hakkını vermek lazım, beni çok uğraştırıyor. Bence dokümantasyonu dolgun ve yeterli gibi görünse de kafa karıştırıcı. İşleri sıralı bir prosedür ve birbirini takip eden konular halinde anlatamıyor sanırım. Ya da ben anlamakta zorlanıyorum, bu da ihtimal dahilinde elbet. :)

"Splunk app for Active Directory" konusunda da önceki postalarımdakinin aynısı oldu. Prosedürü aynen uyguladım. Çalışmadı, beklediğim sonucu vermedi. Uğraştım, forumlara yazdım, prosedürleri üçüncü, beşinci kez okudum. Yine olmadı. En sonunda da bilimselliğe aykırı olarak "kendiliğinden" düzeldi.

Bu "kendiliğinden" oldu veya "zamanla düzeldi" beni sahiden de illet eden bir açıklama türü ama mantıklı açıklamasını bulamadığım zamanlarda başvuracak başka bir yol kalmıyor malesef.

Neyse, biz ne yaptık da ne oldu kısmına geçelim lafı uzatmadan.

1- Splunk içinden "Active Directory app" yüklenir.

2- Splunk içinden "Universal forwarder" tarafından gönderilecek veriyi dinleyecek bir alıcı (receiver) oluşturulur.

3- Universal Forwarder DC'ye kurulurken , ben bir deployment server kullanmadığım için bu adımı boş geçtim.

4- Splunk serverı işaret edilecek. Port, daha önce oluşturduğumuz alıcı ile aynı port. Dikkat !

5- SSL sertifikasını boş bıraktım.

6- splunk adında bir AD hesabı oluşturdum ve minimum Account operator yetkisi verdim. Daha fazlası veya azından kurulum belgelerinde bahsedilmiyor, tedbiren :) DC'ye kurduğumuz için re

7- Hiç bir girdi türünü seçmedim. Normal olarak kurulumun bu adımdan sonra başarıyla tamamlanması ve servisin çalışması gerekiyor.

Splunk kullanım testleri (1)

Şeytan dürttü, Graylog ile aynı ortamda Splunk kurarak bir karşılaştırma yapayım dedim. Çerçevesini iyi belirlemek gereken bir karşılaştırma olduğunu farkındayım. Splunk gibi çok güçlü bir ürünle açık kaynak Graylog'u işlevsellik açısından yarıştırmak gibi bir hataya düşmeyeceğim. Amacım aynı gelen verinin her iki sistem üzerinde birbirine göre ne gibi farklılıklar oluşturduğunu, kaynak ve lisans kullanımını nasıl değiştirdiğini görmek gibi nesnel sınırlarda kalmak olacak.

Graylog'u 7 ESX 5.5 sunucusundan gelen logları izlemek üzere kurmuştum. Tüm ESX'lerde syslog yönlendirmesi bu CentOS sunucuya ve üzerindeki rsyslog'a yapılmıştı. Rsyslog da aynı sunucu üzerindeki Graylog'a 10514 (UDP) portuna syslog yönlendiriyordu.

Splunk'u ayrı bir CentOS sunucusu üzerine kurdum. Graylog'un rsyslog'undan da bu sefer 514 (UDP)'ye yönlendirme yaptım.

Ortaya çıkan sonuçlar bana göre ilginç oldu :

7 tane ESX sunucusundan asgari Info ve üstü seviyeden gelen loglar (Toplamda 100 VM var) Splunk'da gayet düşük yer kaplıyor. Bu anlamda disk kullanımının "makul" olduğunu söyleyebiliriz. Bakınız, üstteki görüntü.

7 tane ESX sunucusunun sysloglarını barındırdığımız CentOS sunucusu alışkanlık olduğu üzere mütevazi kaynaklara sahip. Altta orta-seviye bir disk depolama sisteminde çalışan 2 GB RAM ve 2 vCPU'su olan bir sunucu kullandım. Yukarıdaki görüntüden de anlaşılacağı üzere 4 milyon satır üzerinde kayıt birikmiş durumda ve indeksleme-arama sonuçları yine makul ve üstü düzeyde.

Gelelim konunun can alıcı kısmına. Yine hatırlatmak için söyleyeyim Splunk'un lisans kullanımını etkileyen şey dışarıdan gelen verinin Splunk'da depolanma durumu. Günlük 500 MB'a kadar sistem herhangi bir lisans ihlali üretmiyor.
Yukarıdaki grafik bu bağlamda incelendiğinde yine olumlu bir durum görmekteyiz. 100 VM'in koştuğu , 7 ESX sunucunun olduğu bir ortamda üretilen syslog verisi Splunk için günde 50 MB'ı aşmıyor. Bu, kendi ortamlarımızda ölçeğin hesaplanabilmesi için çok değerli bir bilgi sanırım.

Genelde lisans kullanımı %25'in üzerine çıkmamış.

Toplamda son 7 günde 250 bin kaydın depolandığı görülüyor. Bunun +/- %20 kadar sapması olabileceğini düşünüyorum. O konulara da ayrıca başka bir yazıda gireriz. :)