Senaryomuz şu ; geçen haftadan beri kullandığım Splunk üzerine OSSEC kurarak, test ortamımdaki OSSEC sunucumuzu buraya taşımış oldum. Ardından da Splunk App for OSSEC kuruldu. Ardından çalışması, logları okuması, bir şeyler göstermesi beklendi. Ama olmadı tabi ki.
Biraz uğraştırdı. Neler okumadım ki, kimlerin bloglarına girmedim ki. Garip olan, herkesin son derece basit bir şekilde kurmuş ve çalıştırmış olmasıydı. Zaten bundan da fena halde şüphelendim.
Sebebi yaklaşık 10 saat sonra şuradan çıktı. Ben bir düzen ve tertip hastasıyım ya, tüm kurulumlarımı standart klasörlerime yaparım. OSSEC'i de /opt/ossec altına kurmuştum. Oysa ki Splunk App for OSSEC, uygulamayı /var/ossec altında istiyor.
Kurulumu yeniden ve bu klasöre (/var/ossec) yapınca herşey düzeldi. Kurulum çok basit olduğu için burada anlatmıyorum.
Not : Açıkçası Splunk TA ayarlarında bu isteğin hard-coded mı olduğunu yoksa parametrik mi olduğunu araştırmadım. Bir sonraki sefere işallah.
Hiç yorum yok:
Yorum Gönder