Dieser Artikel ist veraltet. Alle Dokumentationen sind ab sofort unter https://splunk.paloaltonetworks.com/

 

Übersicht

Splunk für Palo Alto Networks ist ein Sicherheits-Reporting-und Analysewerkzeug und ist das Ergebnis einer Zusammenarbeit zwischen Palo Alto Networks und Splunk. Dieses Dokument beschreibt, wie man Splunk für Palo Alto Networks konfiguriert, und deckt die meisten Probleme bei der Konfiguration von Splunk zum ersten Mal ab.

Anmerkung: Laden Sie Splunk für Palo Alto Networks direkt von der Splunk-Website herunter: http://apps.splunk.com/app/491/. Befolgen Sie je nach OS Server, auf dem Splunk ausgeführt wird, die Installationsempfehlungen auf der Splunk-Website.

 

Wenn es separate Indexer und Suchkopf gibt, installieren Sie die Anwendung auf allen.

 

Schritte

Auf dem Splunk-Server:

Die Palo Alto Networks Next-Generation Firewall verwendet standardmäßig udp/514 für syslog, aber da dieser Port häufig von anderen Syslogs verwendet wird, verwenden wir udp/5514 in unseren Beispielen. Wählen Sie jeden gewünschten Port. TCP und SSL Syslogs sind ab PAN-OS 6.0 verfügbar.

 

1. Überprüfen Sie die Einstellungen in der Datei Splunk inputs.conf, und stellen Sie sicher, dass keine andere Konfiguration die oder den Port verwendet, den UDP TCP Sie für syslogs aus der ausgewählt firewall haben. ÜberPrüfen Sie die Eingänge. conf in den folgenden Verzeichnissen:

   Hinweis: Weitere Informationen zur Überprüfung der Priorität von "Konfigurationsdateipriorität" finden Sie im Splunk Enterprise Admin Manual.

   • $SPLUNK _HOME/etc/apps/SplunkforPaloAltoNetworks/local/
   • $SPLUNK_HOME/etc/system/local/
      
2. In der Datei Input. conf fügen Sie die folgende Konfiguration hinzu. UDPStellen Sie für syslogs sicher, dass die Zeile no_appending_timestamp = trueenthält.
   [udp://5514]
   Index = pan_logs
   Quelltyp = pan_log connection_host =
   ip
   no_appending_timestamp = true
    
3. Setzen Sie den Splunk-Dienst auf dem Server zurück, auf dem Splunk für Palo Alto-Netzwerke appausgeführt wird.

 

Nachdem Sie die Dateneingabe konfiguriert haben, greifen Sie auf die app.

 

Wenn Sie das app zum ersten Mal über die WebUI ausführen, wird ein Setup-Bildschirm angezeigt. Sie benötigen die Anmeldeinformationen nur, wenn Sie die benutzerdefinierten Befehle pantag, panblock und panupdate verwenden möchten. Dies WildFire API ist nur für WildFire Abonnenten erforderlich, die möchten, dass Splunk Analyseberichte aus der Cloud indiziert WildFire , wenn ein Malware-Sample analysiert wird. Diese Berechtigungen werden in Splunk mit Verschlüsselung auf die gleiche Art und Weise gespeichert, wie andere Splunk-Berechtigungen gespeichert werden.

 

Wenn Sie diese zusätzlichen Funktionen nicht nutzen wollen, überspringen Sie den Setup-Bildschirm, indem Sie auf Speichern klicken.

• Gehen Sie zu apps > Splunk für Palo Alto Networks.
• Fügen Sie die entsprechenden Benutzernamen/Kennwortanmeldeinformationen für die Palo Alto-Netzwerke firewall und den WildFire API Schlüssel hinzu.
  

Hinweis: Nachdem Sie sich beim WildFire Portal für Abonnenten angemeldet WildFire haben, greifen Sie auf den WildFire API Schlüssel unter dem Konto zu. Kopieren Sie den Schlüssel, und fügen Sie ihn in den Schlüssel ein WildFire API (siehe Beispiel).

 

Auf dem Gerät des Palo Alto Networks:

Nach Abschluss der Einrichtung auf der Splunk-Website, richten Sie das Palo Alto Networks-Gerät ein, um Syslogs an Splunk zu senden.

1. Gerät zur > Serverprofile > Syslog.
2. Konfigurieren Sie die Details für den Splunk-Server, einschließlich des UDP Ports (5514, für dieses Beispiel).
   
   Hinweis: Legen Sie kein benutzerdefiniertes Protokollformat fest. Die Protokolle müssen im Standardformat sein oder Splunk wird Sie nicht parieren.
3. Konfigurieren Sie einen Protokollierungsmechanismus auf firewall dem, um den syslog-Server zu verwenden. Konfigurieren Sie beispielsweise eine policy Sicherheitsregel mit einem Protokollweiterleitungsprofil, das den Splunk-Syslog-Server verwendet. Oder konfigurieren Sie firewall die, um Konfigurations- oder Systemereignisse auf dem Splunk-Syslog-Server zu protokollieren. Die policy Sicherheitsregeln finden Sie unter Richtlinien > Sicherheit. Andere konfigurierbare syslog-Ereignisse befinden sich unter Device > Log-Einstellungen.

 

Testen Sie die Konfiguration

Die einfachste Möglichkeit, zu testen, ob alles funktioniert, besteht darin, alle firewall Konfigurationsereignisse zu syslogen. Gehen Sie zum Gerät > Log-Einstellungen > config und Commit. Nehmen Sie eine Konfigurationsänderung vor, und der firewall erzeugt ein Konfigurationsereignis-Syslog. Sie müssen nicht die Änderung für das zu produziere syslog festlegen-jede nicht verpflichtete Änderung der Konfiguration erzeugt ein Log. Sie können überprüfen, ob das Protokoll Splunk erreicht hat, indem Sie zu Splunk für Palo Alto Networks appgehen, in der Navigationsleiste auf Suchen klicken und Folgendes eingeben:

 

index=pan_logs sourcetype=pan_config

 

Wenn Splunk die Syslogs von der abholt firewall und sie richtig analysiert, werden die Konfigurationsereignis-Syslogs hier von den Änderungen angezeigt, die Sie an der Konfiguration vorgenommen firewall haben.

 

Fehlersuche

1. Überprüfen Sie, ob die gesamte Erstkonfiguration abgeschlossen ist

• Verifizierungs Eingänge. conf wird nach den obigen Anweisungen eingerichtet.
• Eingänge. conf muss die Zeile "no_appending_timestamp = true" haben
• ÜberPrüfen Sie die anderen Eingänge. conf-Konfigurationen für andere Eingänge mit demselben Port
• Überprüfen Sie, ob der firewall kein benutzerdefiniertes Protokollformat verwendet (muss standardeinstellung smuss)
• Überprüfen Sie, ob der firewall so eingestellt ist, dass systemereignisse, Konfigurationsereignisse, Datenverkehrsereignisse usw. protokolliert werden.
• Überprüfen Sie, ob die Uhren auf dem firewall und Splunk-Server identisch sind.Wenn sie unterschiedlich sind, werden Protokolle nicht korrekt angezeigt.
• Wenn Sie einen TCP oder einen Port für SSL Syslogs verwenden, versuchen Sie UDP es stattdessen zuerst, wechseln Sie dann zu TCP oder SSL UDP

 

2. Überprüfen, ob Protokolle indiziert sind

Verwenden Sie die unter Testen der Konfiguration beschriebene Methode, um einige Syslogs zu erstellen. Überprüfen Sie, ob die Protokolle den Splunk-Server erreichen, indem Sie zu Splunk für Palo Alto Networks appnavigieren, in der Navigationsleiste auf Suchen klicken und dann Folgendes eingeben:

index=pan_logs

 

Wenn keine Protokolle auftauchen, werden die Protokolle nicht korrekt indiziert. Nutzen Sie diese Schritte, um das Problem zu finden:

• Überprüfen Sie die Konfiguration im Abschnitt "Fehlerbehebung" oben.
• Schalten Sie den Such Zeitraum auf alle Zeit. Wenn Protokolle auftauchen, überprüfen Sie, ob der Zeitstempel auf den Protokollen korrekt ist. Wenn die Zeit falsch ist, überprüfen Sie, ob die Uhren auf dem Splunk-Server firewall identisch sind und identisch sind.
• Verwenden Sie tcpdump oder wireshark auf dem Splunk-Server, um zu überprüfen, ob die Protokolle tatsächlich erreicht werden. Überprüfen Sie auch, ob der pan_logs-Index existiert.

 

3. Überprüfen Sie, ob Protokolle korrekt analysiert wurden

Verwenden Sie die oben im Abschnitt Testen der Konfiguration beschriebene Methode, um einige Syslogs zu erstellen. Überprüfen Sie, ob die Protokolle den Splunk-Server erreichen, indem Sie zu Splunk für Palo Alto Networks appnavigieren, in der Navigationsleiste auf "Suchen" klicken und die folgende Suche eingeben:

index=pan_logs sourcetype=pan_config

 

Wenn Protokolle in Schritt 2 angezeigt werden, aber jetzt keine Protokolle angezeigt werden, versuchen Sie sourcetype=pan_logs anstelle von sourcetype=pan_config.Wenn die Protokolle nach dieser Änderung angezeigt werden, werden die Protokolle nicht korrekt analysiert:

• Stellen Sie fest, dass Sie kein benutzerdefiniertes Protokollformat in der Syslog-Servereinstellung auf der firewall verwenden.
• ÜberPrüfen Sie, ob die Eingabe. conf-Datei mit der Zeile "no_appending_timestamp = true" konfiguriert ist.
• Wenn Sie eine syslog-Spedition von Drittanbietern zwischen dem Palo Alto Networks-Gerät und Splunk verwenden, überprüfen Sie, ob der Spediteur die Protokolle nicht verändert.

 

4. Beschleunigung und Zusammenfassungsindizierung überprüfen

ÜberPrüfen Sie, ob die Armaturenbretter mit Daten bevölkern. Das Übersichts-Armaturenbrett nutzt keine Beschleunigung, daher sollte es an dieser Stelle funktionieren. Wenn er keine Daten zeigt, dann gehen Sie zurück zur Fehlerbehebung. Für alle anderen Dashboards sollten die Dashboards nach 5-8 Minuten syslogging auf den Splunk-Server mit Daten bevölkern. Wenn die Armaturenbretter bevölkern, dann funktionieren Beschleunigung und zusammenfassende Indexierung. Wenn nicht, überprüfen Sie Folgendes:

 

App Version 4.0 und früher:

Verwendet TSIDX für die Beschleunigung.

• ÜberPrüfen Sie, ob die gespeicherten Suchanfragen nach Log-Sammlung in der savedsuch. conf-Datei sind. ÜberPrüfen Sie, ob Sie nicht geändert oder überschrieben wurden.

 

App Version 4.1 und höher:

Verwendet Datenmodell für die Beschleunigung.

• ÜberPrüfen Sie die Beschleunigungs Einstellungen im Datenmodell unter Einstellungen > DatenModell > Palo Alto Networks Logs, bearbeiten Sie dann die Beschleunigungs Einstellungen und überprüfen Sie, ob Sie für einen relativ großen Zeitrahmen aktiviert sind.
• Klicken Sie auf den Pfeil neben dem Palo Alto Networks-Datenmodell und überprüfen Sie den Datenmodell Build Prozent. Sie soll 100 Prozent oder ganz nah dran sein.
• Wenn der Build-Anteil bei weniger als 90% liegt, könnte die Ursache für begrenzte Ressourcen auf dem Splunk-Server liegen, der von anderen apps konsumiert wird. Überprüfen Sie, ob Splunk- CIM oder Splunk-Apps ES auf dem Splunk-Server ausgeführt werden. Wenn Sie es sind, versuchen Sie, beide apps zu deaktivieren, und sehen Sie, ob der Build-Prozentsatz über 90% steigt. Wenn dem so ist, öffnen Sie einen Fall mit Splunk-Unterstützung, um die Frage der Ressourcen Streit zwischen den apps zu melden und sich beraten zu lassen, wie es weiter geht.

 

Besitzer: Ialeksov