将WSA与Splunk集成

在此博客文章中,我将详细介绍如何将WSA日志添加到我的Splunk实例。有几种方法可以做到这一点,但我正在通过FTP将日志上传到Splunk。您也可以利用SCP,但我选择不走这条路线。 

在开始任何配置之前,请确保从以下位置下载免费的适用于Cisco 世界安全联盟 的Splunk加载项 这里 并将其安装在您的Splunk服务器上。 

我要做的下一件事是将vsftpd安装到我的Ubuntu服务器上,以便可以通过FTP进入。您可以通过执行以下命令从终端执行此操作: 

sudo apt-get update
sudo apt-get install vsftpd

由于我将使用FTP将WSA日志存储到Splunk中,因此需要启用FTP写功能。为此,您需要对vsftpd.conf文件进行一些更改,并且需要对其进行访问。在终端上,发出以下命令来更改您对conf文件的权限:

sudo chmod 777 /etc/vsftpd.conf

然后打开文件并查找write_enable = YES行,该行可能会被注释为#write_enable = YES,取消注释它从前面删除#并保存文件。

完成此操作后,使用以下命令重新启动vsftpd服务:

sudo service vsftpd restart

现在,您将需要配置WSA以将日志发送到Splunk。登录到您的WSA并导航到 系统管理>Log Subscriptions

 

在日志订阅下,选择 Add 日志订阅 创建一个新的日志订阅,该订阅将发送到Splunk服务器。

您可以发送Splunk的日志类型很多(squid,w3c等)。在我的实验室中,我将使用鱿鱼格式,因为它可能是最容易配置的格式,并且您无需为日志配置任何自定义字段。 

对于日志类型,选择 访问日志 对于日志样式,请选择 乌贼。  

向下滚动同一窗口,我选择了 远程服务器上的FTP 并填写以下内容:

  • FTP主机:<Splunk-IP-Address>
  • 目录:/ opt / splunk /(注意:这必须是Splunk可以访问的目录。如果在生产中进行此操作并且有大量日志,则可能不希望将其直接放入Splunk目录中。但我并不太在意,因为这是我的实验室)
  • 用户名:具有从FTP写入该目录的特权的用户名
  • 该用户的密码

完成后,单击 提交 然后 承诺 这个变化。  

从“日志订阅”菜单中,可以选中刚创建的新日志订阅旁边的框,然后单击“确定”。 立即结转 在屏幕底部强制将日志立即发送到Splunk。 FTP到Splunk中文件发送到的目录,以验证您现在在其中看到了鱿鱼文件。 

在Splunk中,添加一个新的数据源。这次,我们将源定义为保存日志文件的目录,然后单击 下一页。

在下一页上,将源类型定义为 思科:WSA:乌贼。我还决定将主机更改为wsa,而不是Splunk服务器名称。请点击 评论 然后完成。 

我敦促您做的最后一件事是导航到 / opt / splunk / etc / apps / Splunk _TA_cisco-wsa / default 并创建一个 输入文件 其中包含以下内容的文件:

[monitor://opt\splunk\]
sourcetype = 思科:WSA:乌贼

 注意:如果没有它,我不会测试此配置,但是根据所有文档,WSA附加组件需要此配置才能稍后正常运行。 

要测试Splunk现在是否正在从WSA日志文件中看到日志,可以按如下所示搜索源类型。

您可以从WSA插件中真正获得很多好处的是Cisco Security Suite App,我将在下一篇博客文章中介绍。