Vor einigen Wochen kam ich auf die großartige Idee meine Ossec Events mal etwas bildlicher dazustellen. Die erste Wahl für eine solche Aufgaben stellt im Moment wohl Splunk da. Die freie Version mit 500MB Logs pro Tag sollte für mich ja erstmal ausreichen. Am Anfang war alles toll, Splunk lies sich schnell und problemlos installieren. Die Ossec Dashboardapp war auch schnell installiert und Splunk hat tolle Graphen gebaut. Doch dann passierte es, die „Enterprise Test Version“ lief aus. Die Warnungen waren mit ein paar klicks weggeklickt und alles lief wie gehabt. Einen halben Tag später kam die Ernüchterung, Splunk fragte mich plötzlich nicht mehr nach einem Benutzer sondern loggte mich direkt als Administrator ein. Meine kompletten Ossec Logs waren für das ganze Internet sichtbar solang man nur wusste das Splunk auf Port 8000 lief.
Was sich über das Splunk Interface noch alles installieren lässt darüber will ich gar nicht erst nachdenken. Also erste Reaktion: PANIK!!!
Splunk war schnell vom Server gefegt und der Server noch schneller aus meinem internen VPN geworfen bevor da noch irgendwelche Dummheiten passieren. Ossec Datenbank auf und erstmal die File Integrity Logs des betreffenden Servers durchgeschaut. Nichts auffälliges, zum Glück. Die Kiste wird trotzdem platt gemacht, nur für den Fall der Fälle.
So und jetzt erstmal zur Ursachenforschung, wenn ich lesen würde was ich klicke hätte ich mir jede Menge Ärger erspart. Mit der Enterprise Lizenz erlicht auch die Möglichkeit der Authentifizierung und das Ding ist offen wie ein Scheunentor.
Nein, ich gebe Splunk keine schuld an dem Desaster sondern einfach meiner totalen Übermüdung als ich die Lizenz abgenickt habe. Trotzdem werde ich bestimmt nicht mehr auf die Idee kommen das Ding ausserhalb eines geschützten Netzwerkes zu benutzen. Mal sehen ob ich da doch noch ein anderes Produkt finde das mir da ein paar schöne Graphen baut.
Wenn nicht wird halt schnell selbst etwas zusammengebastelt, sollte dank dem DB-Export von Ossec nicht so wirklich schwer zu machen sein.
Sie haben Recht, wenn Sie sagen das die Authentifizierung abgeschaltet wird.
In der freien Version gibt es keine Authentifizierung und nur eine exklusive Rolle ist nutzbar, ohne Anmeldung an das System.
Allerdings handelt es sich dabei um eine Version, die bis zu einer Datenmenge vom max 500MB pro Tag, fuer jedermann vollkommen frei nutzbar ist.
Es wird dem Anwender in dieser Version empfohlen Splunk in einer Umgebung zu installieren die eben vor Zugriffen von Aussen abgesondert ist, also einen Stand Alone Server zu nutzen. Somit kann ich Splunk weiter als Reportingwerkzeug nutzen mit all seinen Vorteilen, und das umsonst.
Ich denke, verglichen mit dem Aufwand, eine eigene Loesung zu bauen, ist dieser Aufwand doch weit geringer? 🙂
Gegen Splunk selbst ist an sich auch nichts einzuwenden.
Ich behalte Splunk zumindest vorerst mal im Hinterkopf wenn ich für eine etwas größere Umgebung mal ein wenig Geld in die Hand nehmen muss.
Die free Version ist allerdings für mich in dieser Form unbenutzbar, selbst in meinem „privaten“ Netzwerk bewegen sich ab und zu Menschen denen ich nicht unbedingt Zugriff auf meine Loginformationen geben will. Natürlich lässt sich das Problem mit einer Firewall und ähnlichen Spielereien erschlagen, doch mal ganz ehrlich die Authentifizierung wegzunehmen ist schon etwas gemein 😉
Eine eigene Lösung kommt bei auch nur deswegen in Frage weil der Aufwand zum Parsen und Auswerten exakt eines Logformates doch recht überschaubar ist. Splunk war für den Zweck für den ich es eingesetzt habe dann doch etwas überdimensioniert. War ja hauptsächlich um mir das Ding mal Anzuschauen.
Doch bevor es jetzt soweit kommt das ich mich an etwas eigenem versuche werde ich mir mal die Konkurrenz anschauen. Fürs erste habe ich da mal an ArcSight gedacht. 750 MB logs pro Tag + Authentifizierung hört sich doch für den Anfang gar nicht so schlecht an und das sogar noch gratis 😉
Trotzdem mal Respekt das ihr mich so schnell gefunden habt.