如何为帕洛阿尔托网络配置 Splunk
Symptom
该链接指向 Splunk 安全报告和分析工具简介PANW.
Environment
PANW 防火墙和管理
Resolution
本文已弃用。 所有文档现在都可以在https://splunk.paloaltonetworks.com/
概述
Splunk for Palo Alto Networks 是一种安全报告和分析工具,是 Palo Alto Networks 和 Splunk 合作的成果。 本文档介绍如何为帕洛阿尔托网络配置 Splunk,并涵盖首次配置 Splunk 时遇到的大多数问题。
笔记:直接从 Splunk 站点下载适用于 Palo Alto Networks 的 Splunk: http://apps.splunk.com/app /491/ . 取决于OS对于运行 Splunk 的服务器,请遵循 Splunk 网站上的安装建议。
如果有单独的索引器和搜索头,请在所有索引器和搜索头上安装该应用程序。
脚步
在 Splunk 服务器上:
Palo Alto Networks 下一代Firewall默认情况下,系统日志使用 udp/514,但由于此端口经常被其他系统日志使用,因此我们将在示例中使用 udp/5514。 选择任何所需的端口。 TCP 和SSL系统日志可用于PAN-OS6.0 及更高版本。
检查 Splunk inputs.conf 文件中的设置并验证没有其他配置正在使用UDP或者TCP您为系统日志选择的端口firewall. 检查以下目录中的 inputs.conf:
笔记:有关在 Splunk 上检查优先级的方式的更多信息,请参阅 Splunk Enterprise 管理手册中的“配置文件优先级”部分。
- $SPLUNK_HOME/etc/apps/SplunkforPaloAltoNetworks/local/
- $SPLUNK_HOME/etc/系统/本地/
- 在 inputs.conf 文件中,添加如下配置。 为了UDP系统日志,确保包含该行no_appending_timestamp = true .
[udp://5514]
索引 = pan_logs
来源类型 = pan_log
connection_host = ip
no_appending_timestamp = true - 在运行帕洛阿尔托网络 Splunk 的服务器上重置 Splunk 服务app.
配置数据输入后,访问并配置app.
第一次运行app在 WebUI 中,将显示一个设置屏幕。 仅当您想使用自定义命令时才需要凭据pantag, panblock,和panupdate . 这WildFireAPI只需要WildFire希望 Splunk 编制索引的订阅者WildFire分析恶意软件样本时来自云端的分析报告。 这些凭据使用与其他 Splunk 凭据存储相同的方式加密存储在 Splunk 中。
如果您不想使用这些额外功能,请单击“保存”跳过设置屏幕。
- 转到应用程序 > Splunk for Palo Alto Networks。
- 为帕洛阿尔托网络添加适当的用户名/密码凭据firewall和WildFireAPI钥匙。
笔记:登录后WildFire门户网站为了WildFire订户,访问WildFireAPI帐户下的密钥。 将密钥复制并粘贴到WildFireAPI键(见示例)。
在帕洛阿尔托网络设备上:
在 Splunk 站点上完成设置后,设置帕洛阿尔托网络设备以将系统日志发送到 Splunk。
- 转到设备 > 服务器配置文件 > 系统日志。
- 配置 Splunk 服务器的详细信息,包括UDP端口(本例中为 5514)。
笔记:不要设置自定义日志格式。 日志必须采用默认格式,否则 Splunk 不会解析它们。 - 配置日志记录机制firewall使用系统日志服务器。 例如,配置安全policy使用 Splunk 系统日志服务器的日志转发配置文件的规则。 或者配置firewall将配置或系统事件记录到 Splunk 系统日志服务器。 安全policy规则位于策略 > 安全下。 其他可配置的系统日志事件位于设备 > 日志设置下。
测试配置
测试一切正常的最简单方法是配置firewall系统记录所有配置事件。 转到设备 > 日志设置 > 配置并提交。 进行任何配置更改和firewall生成配置事件系统日志。 您不必提交要生成的系统日志的更改——任何未提交的配置更改都会生成一个日志。 您可以通过转到帕洛阿尔托网络的 Splunk 来验证到达 Splunk 的日志app,点击导航栏中的搜索,输入:
index=pan_logs sourcetype=pan_config
如果 Splunk 从firewall并正确解析它们,然后您会看到配置事件系统日志显示在此处,来自您在firewall配置。
故障排除步骤
1.检查所有初始配置是否完成
- 验证 inputs.conf 是否按照上述说明设置
- inputs.conf 必须包含“no_appending_timestamp = true”行
- 使用同一端口检查其他 inputs.conf 配置以了解其他输入
- 检查firewall未使用自定义日志格式(必须使用默认格式)
- 检查firewall设置为记录系统事件、配置事件、流量事件等内容。
- 检查时钟上的firewall和 Splunk 服务器是一样的。如果它们不同,日志将不会正确显示。
- 如果使用TCP或者SSL系统日志的端口,试试UDP而不是先,然后切换到TCP或者SSL一次UDP工作中
2. 验证日志是否已编入索引
使用中描述的方法测试配置产生一些系统日志。 通过导航到帕洛阿尔托网络的 Splunk 验证日志是否到达 Splunk 服务器app,点击导航栏中的搜索,然后输入:
index=pan_logs
如果没有日志显示,则日志没有被正确索引。 使用以下步骤查找问题:
- 从中验证配置故障排除上面的部分。
- 将搜索时间范围切换为所有时间。 如果日志出现,请验证日志上的时间戳是否正确。 如果时间错误,请检查 Splunk 服务器上的时钟和firewall是相同的。
- 在 Splunk 服务器上使用 tcpdump 或 Wireshark 来验证日志是否确实到达了它。 此外,验证 pan_logs 索引是否存在。
3.验证日志是否被正确解析
使用上一节中描述的方法测试配置产生一些系统日志。 通过导航到帕洛阿尔托网络的 Splunk 验证日志是否到达 Splunk 服务器app,点击导航栏中的“搜索”,输入以下搜索:
index=pan_logs sourcetype=pan_config
如果在步骤 2 中显示日志,但现在没有日志显示,请尝试sourcetype=pan_logs代替源类型=pan_config .如果日志在该更改后开始显示,则日志未被正确解析:
- 检查您是否没有在系统日志服务器设置中使用自定义日志格式firewall.
- 检查 inputs.conf 文件是否配置了“no_appending_timestamp = true”行
- 如果您在帕洛阿尔托网络设备和 Splunk 之间使用第三方系统日志转发器,请验证转发器未修改日志。
4.检查加速和摘要索引
检查仪表板是否填充了数据。 概述仪表板不使用加速,因此此时它应该可以工作。 如果它不显示数据,则返回进行故障排除。 对于所有其他仪表板,在系统记录到 Splunk 服务器 5-8 分钟后,仪表板应填充数据。 如果仪表板正在填充,则加速和摘要索引正在运行。 如果没有,请检查以下内容:
App 4.0 及更早版本:
用途TSIDX为加速。
- 验证保存的日志收集搜索是否在 savedsearches.conf 文件中。 检查它们是否未被更改或覆盖。
App 版本 4.1 及更高版本:
使用数据模型进行加速。
- 在设置 > 数据模型 > 帕洛阿尔托网络日志下检查数据模型中的加速设置,然后编辑加速设置并验证它们是否在相当长的时间范围内启用。
- 单击 Palo Alto Networks 日志数据模型旁边的箭头并检查数据模型构建百分比。 它应该是 100% 或非常接近它。
- 如果构建百分比卡在 90% 以下,原因可能是 Splunk 服务器上的有限资源被其他应用程序占用。 检查是否 SplunkCIM或 SplunkES应用程序在 Splunk 服务器上运行。 如果是,请尝试禁用这两个应用程序,并查看构建百分比是否增加超过 90%。 如果出现这种情况,请使用 Splunk 支持打开案例以报告应用程序之间的资源争用问题并获取有关如何继续的建议。
拥有者:亚列克索夫