J'ai lancé un serveur syslog centralisé (rsyslog sous CentOS6, qui fonctionne parfaitement). L'étape suivante consistait à ajouter Splunk comme outil d'analyse des syslogs. Tout a été installé parfaitement - Splunk fonctionne, je peux me connecter au front-end et ajouter une source de données (port TCP 514) mais à partir de là, je ne vois aucune donnée indexée par Splunk.
La configuration de rysylog pour le stockage et le traitement des données ressemble à ceci :
$ModLoad ommysql
$ModLoad ommysql
*.* :ommysql:127.0.0.1,rsysdb,rsyslog,password
*.* @@localhostUne idée de la raison pour laquelle Splunk ne reçoit aucune donnée ?
Gracias
0 votes
Il est très difficile de prédire ce qui ne va pas dans votre configuration. Il est fort probable que vous n'ayez pas configuré la source de données correctement.
0 votes
Si Splunk peut souvent être utilisé à la place d'un SIEM ou pour des opérations de sécurité, il n'est pas nécessairement un outil de sécurité. Vous pouvez trouver plus d'expertise sur cet outil sur notre site pour les professionnels des technologies de l'information. Défaut du serveur .
0 votes
@ScottPack merci de m'avoir dirigé vers le bon site