思科网络Splunk应用

在这篇文章中,我将通过介绍Cisco Networks Splunk 应用程序来偏离Splunk的网络安全性方面,以及更多有关网络操作方面的内容。该应用程序将从网络中的各种网络设备收集syslog和Call Home最精准双色球预测专家,并以一些相当有趣的方式将其可视化。 

在进行此配置之前,我已将以下应用程序下载并安装到我的Splunk实例上:

  • Cisco Networks Add-on - //splunkbase.splunk.com/app/1467/
  • Cisco Networks App - //splunkbase.splunk.com/app/1352/#/overview

在Splunk上配置最精准双色球预测专家源之前,我先配置了各种路由器,交换机,无线控制器,FTD设备和访问点,以将syslog和Call Home最精准双色球预测专家发送到Splunk。 

对于路由器和交换机等IOS设备,我对syslog的各个部分进行了如下配置:

-配置要发送到Splunk的系统日志:

service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
service sequence-numbers
logging trap informational
logging host 10.1.100.20 transport udp port 514

 

-为其打开存档和日志记录:

archive
 log config
logging enable
logging size 200
notify syslog contenttype plaintext
hidekeys

login on-failure log
login on-success log
logging userinfo

-全局记录界面更改:

logging event trunk-status global
logging event link-status global

-在接口和SVI级别记录:

interface X
logging event trunk-status
logging event spanning-tree
logging event status

-监视MAC移动,STP日志记录,IP SLA,NTP等:

mac address-table notification mac-move
spanning-tree logging
ip sla logging traps
ip dhcp limit lease log
ip dhcp conflict logging
ip nat log translations syslog
xconnect logging pseudowire status
ntp logging
epm logging

 

-在SVI和接口上记录ARP阈值:

interface X
arp log threshold entries 2048

 

-记录Trustsec:

cts sxp log binding-changes
cts logging verbose

 

-ACL记录:

ip access-list logging hash-generation

 

-CPU和内存利用率日志记录:

process cpu threshold type total rising 80 interval 5
memory free low-watermark processor 20000
memory free low-watermark io 20000

 

-智能回拨电话:

ip http client source-interface vlan 100

service call-home  
call-home  
 contact-email-addr "[email protected]"
 site-id "Security Demo  实验室 "
 profile " Splunk "  
  destination transport-method http  
  destination address http http://10.1.100.20:847
  subscribe-to-alert-group diagnostic severity debug  
  subscribe-to-alert-group environment severity debug  
  subscribe-to-alert-group inventory  
  subscribe-to-alert-group inventory periodic daily 22:30

在无线控制器上,我将Splunk配置为下的syslog服务器 管理>Logs>Config 如下所示,最终将syslog级别更改为“信息性”。

 

如果您想配置访问点也将其系统日志最精准双色球预测专家发送到Splunk,我建议您首先确保为访问点保留DHCP预留。完成之后,登录到无线控制器并发出以下命令:

config ap syslog host global 10.1.100.20

这会将配置推送到AP,以将syslog最精准双色球预测专家发送到Splunk。 

在Splunk中,我们现在将配置最精准双色球预测专家源。转到“添加最精准双色球预测专家”,然后选择“ TCP协议 / UDP协议 ”。在第一页上,配置以下内容:

  • UDP协议 协议
  • 端口:514
  • 仅访问来自以下主机的连接:发送系统日志流量的设备的主机名或IP

请点击 下一页

在下一页上,配置以下内容:

  • 源类型:cisco:ios
  • 主机:IP
  • 索引:默认值或您想要的任何一个

请点击 评论 并完成配置。

对于您配置为回拨的设备,您将返回到添加最精准双色球预测专家,然后在TCP / UDP协议 下选择以下选项:

  • TCP协议 协议
  • 端口:847(注意:我随机选择了此端口,并在IOS设备上进行了配置。您可以选择一个端口)
  • 仅接受以下来源的连接:发送回拨最精准双色球预测专家的设备的IP或主机名

请点击 下一页。

在下一页上,配置以下内容:

  • 来源类型:Cisco:SmartCallHome
  • 主机:IP
  • 索引:默认值或创建的任何索引

请点击 评论 并完成。

完成最精准双色球预测专家源配置后,请转到Cisco Networks应用程序。现在,您应该在仪表板上看到开始填充的最精准双色球预测专家。

可以看到,IOS设备,WLC或AP可以轻松解析最精准双色球预测专家,以快速显示每种最精准双色球预测专家的不同视图,如下所示。

以下是在Splunk上登录的配置更改事务的示例: