Este artículo está en desuso. Toda la documentación ya está disponible en https://splunk.paloaltonetworks.com/

 

Visión general

Splunk para Palo Alto Networks es una herramienta de análisis y reporting de seguridad, y es el resultado de una colaboración entre Palo Alto Networks y Splunk. Este documento describe cómo configurar Splunk para las redes de palo alto, y cubre la mayoría de los problemas en la configuración de Splunk por primera vez.

Nota: Descargue Splunk para Palo Alto Networks directamente desde el sitio de Splunk en: http://apps.splunk.com/app/491/. OS Dependiendo del servidor que ejecute Splunk, siga las recomendaciones de instalación del sitio web de Splunk.

 

Si hay indizadores separados y Head de búsqueda, instale la aplicación en todos ellos.

 

Pasos

En el servidor Splunk:

La próxima generación de Palo Alto Networks Firewall utiliza udp/514 para syslog de forma predeterminada, pero dado que este puerto es a menudo utilizado por otros syslogs, usaremos udp/5514 en nuestros ejemplos. Elija cualquier puerto deseado. TCP y SSL syslogs están disponibles en PAN-OS 6.0 y posteriores.

 

1. Compruebe la configuración en el archivo inputs.conf de Splunk y compruebe que ninguna otra configuración está utilizando el UDP o puerto que eligió para TCP syslogs del firewall archivo . Compruebe las entradas. conf en los siguientes directorios:

   Nota: Consulte la sección "Prioridad del archivo de configuración" en el Manual de administración de Splunk Enterprise para obtener más información sobre la forma en que se comprueban las prioridades en Splunk.

   • $SPLUNK _HOME/etc/apps/SplunkforPaloAltoNetworks/local/
   • $SPLUNK_HOME/etc/system/local/
      
2. En el archivo INPUTS. conf, añada la siguiente configuración. Para UDP syslogs, asegúrese de incluir la línea no_appending_timestamp = true.
   Índice [udp://5514]
   = pan_logs
   sourcetype = pan_log connection_host =
   ip
   no_appending_timestamp = true
    
3. Restablezca el servicio Splunk en el servidor que ejecuta Splunk para Palo Alto Networks app.

 

Después de configurar la entrada de datos, acceda y configure el apparchivo .

 

La primera vez que se ejecuta desde app WebUI, aparece una pantalla de configuración. Solo necesita las credenciales si desea usar los comandos personalizados pantag, panblock y panupdate. El WildFire API solo es necesario para WildFire los suscriptores que desean que Splunk indexe WildFire los informes de análisis de la nube cuando se analiza una muestra de malware. Estas credenciales se almacenan en Splunk utilizando el cifrado de la misma forma en que se almacenan otras credenciales Splunk.

 

Si no desea utilizar estas funciones adicionales, omita la pantalla de configuración haciendo clic en guardar.

• Ir a apps > Splunk para Palo Alto Networks.
• Agregue las credenciales de nombre de usuario/contraseña adecuadas para palo alto networks firewall y la WildFire API clave.
  

Nota: Después de iniciar sesión en el WildFire Portal para WildFire los suscriptores, acceda a la WildFire API clave debajo de la cuenta. Copie y pegue la clave en la WildFire API clave (véase el ejemplo).

 

En el dispositivo Palo Alto Networks:

Después de completar la instalación en el sitio Splunk, configure el dispositivo Palo Alto Networks para enviar syslogs a Splunk.

1. Ir a dispositivo > perfiles de servidor > Syslog.
2. Configure los detalles para el servidor Splunk, incluido el UDP puerto (5514, para este ejemplo).
   
   Nota: No establezca un formato de registro personalizado. Los registros deben estar en el formato predeterminado o Splunk no los analizará.
3. Configure un mecanismo de registro en el firewall para utilizar el servidor syslog. Por ejemplo, configure una regla de seguridad policy con un perfil de reenvío de registros que utilice el servidor de Syslog Splunk. O configure el firewall to log config o los eventos del sistema al servidor Splunk syslog. Las reglas de seguridad policy están en Directivas > Seguridad. Otros eventos de syslog configurables están bajo configuración de log de dispositivo.

 

Probar la configuración

La forma más fácil de probar que todo está funcionando es configurar el firewall para syslog todos los eventos de configuración. Ir al dispositivo > configuración de registro > config y commit. Realice cualquier cambio de configuración y firewall produzca un syslog de evento de configuración. Usted no tiene que cometer el cambio para que el syslog sea producido--cualquier cambio no comprometido en la configuración produce un log. Puede verificar que el registro llegó a Splunk yendo a Splunk for Palo Alto Networks app, haga clic en Buscar en la barra de navegación e ingrese:

 

index-pan_logs sourcetype-pan_config

 

Si Splunk está recibiendo los syslogs de los firewall y los analiza correctamente, después verá que los syslogs del evento de configuración aparecen aquí de los cambios que usted hizo en la firewall configuración.

 

Pasos para solucionar problemas

1. Compruebe que toda la configuración inicial está completa

• Compruebe INPUTS. conf se configura según las instrucciones anteriores
• INPUTS. conf debe tener la línea "no_appending_timestamp = true"
• Compruebe las otras configuraciones INPUTS. conf para otras entradas utilizando el mismo puerto
• Compruebe que firewall no está utilizando un formato de registro personalizado (debe usar el valor predeterminado)
• Compruebe que firewall el conjunto está configurado para registrar algo como eventos del sistema, eventos de configuración, eventos de tráfico, etc.
• Compruebe que los relojes en el firewall servidor y Splunk son los mismos.Si son diferentes, los registros no se mostrarán correctamente.
• Si utiliza un puerto o un TCP SSL puerto para syslogs, intente UDP primero, después cambie a o TCP una vez esté SSL UDP trabajando

 

2. Verifique que los registros estén indexados

Utilice el método descrito en Probar la configuración para producir algunos Syslog. Verifique que los registros están llegando al servidor de Splunk navegando a Splunk para redes de Palo Alto app, haga clic en Buscar en la barra de navegación y, a continuación, introduzca:

index-pan_logs

 

Si no aparece ningún registro, los registros no se indexarán correctamente. Utilice estos pasos para encontrar el problema:

• Verifique la configuración de la sección de Troubleshooting arriba.
• Cambie el tiempo de búsqueda a todos los tiempos. Si los registros aparecen, verifique que la marca de hora sea correcta en los registros. Si el tiempo es incorrecto, marque que los relojes en el servidor Splunk y firewall son los mismos.
• Utilice tcpdump o Wireshark en el servidor Splunk para verificar que los logs realmente lo están alcanzando. Compruebe también que existe el índice pan_logs.

 

3. Verifique que los registros se analicen correctamente

Utilice el método descrito arriba en la sección Pruebe la configuración para producir algunos Syslog. Verifique que los registros están llegando al servidor de Splunk navegando a Splunk para Palo Alto Networks app, haga clic en 'Buscar' en la barra de navegación e ingrese la siguiente búsqueda:

index-pan_logs sourcetype-pan_config

 

Si los registros se muestran en el paso 2, pero no aparecen registros ahora, pruebe sourcetype-pan_logs en lugar de sourcetype-pan_config.Si los registros comienzan a aparecer después de ese cambio, después los registros no están siendo analizados correctamente:

• Compruebe que no está utilizando un formato de registro personalizado en la configuración del servidor syslog en el firewall archivo .
• Compruebe que el archivo INPUTS. conf está configurado con la línea "no_appending_timestamp = true"
• Si está utilizando un reenviador de syslog de terceros entre el dispositivo de redes palo alto y Splunk, compruebe que el reenviador no está modificando los registros.

 

4. Compruebe la aceleración y la indexación resumida

Compruebe que los paneles están rellenando con datos. El panel de visión general no utiliza la aceleración, por lo que debería funcionar en este momento. Si no muestra datos, vuelva a la solución de problemas. Para todos los demás dashboards, después de 5-8 minutos de syslogging al servidor Splunk, los tableros de mandos deben poblarse con datos. Si los paneles están rellenando, se están trabajando la indexación de aceleración y Resumen. Si no, Verifique lo siguiente:

 

App Versión 4.0 y anteriores:

Se utiliza TSIDX para la aceleración.

• Compruebe que las búsquedas guardadas de la colección de registros se encuentran en el archivo savedsearches. conf. Compruebe que no han sido cambiados o sobrescritos.

 

App Versión 4.1 y posteriores:

Utiliza el modelo de datos para la aceleración.

• Comprobar la configuración de la aceleración en el modelo de datos en configuración > modelo de datos > Palo Alto Networks logs, a continuación, editar los ajustes de aceleración y comprobar que están habilitados para un plazo razonablemente grande.
• Haga clic en la flecha junto al modelo de datos registros de Palo Alto Networks y compruebe el porcentaje de compilación del modelo de datos. Debe ser 100% o muy cerca.
• Si el porcentaje de compilación está atascado en menos de 90%, la causa podría ser recursos limitados en el servidor de Splunk que son consumidos por otras aplicaciones. Compruebe si las aplicaciones Splunk CIM o Splunk ES se ejecutan en el servidor Splunk. Si lo son, intente deshabilitar ambas aplicaciones y vea si el porcentaje de compilación aumenta más del 90%. Si lo hace, abra un caso con Splunk support para informar sobre el problema de la contención de recursos entre las aplicaciones y obtener asesoramiento sobre cómo proceder.

 

Propietario: ialeksov