Splunk for MAC address 网路存取监控
随著网路的普及与地球村的来临,企业将所有的营运资讯和流程电子化,以强化本身於产业的竞争力. 当服务全面网路化后,如何落实网路安全管理,成为企业是否能永续经营的一个重要因子.我们透过 Splunk 结合 SNMP(Simple Network Management Protocol Protocol)的方式,可以即时纪录网路上所有设备的 MAC Simple address(Media Access Control address)的运作状况,达到纪录与分析企业内所有网路存取的网路管理目的, 确保企业的永续经营.
Splunk for MAC address 特色与效益 传统网路设备进行 MAC address 管理,均采取「人工普查纪录」与「异常时逐台设备查询」的方式,不但在问题发生 时,需要大量时间进行问题排除,而且完全无法提供历史资料进行内部分析与稽核,如何解决企业 MAC address 管理的 问题,一直是资讯人员间的热门话题. Splunk for MAC address 进行网路存取监控,透过标准的网路管理协定 SNMP 收集网路设备上 MAC address 资料, 将收集到的大量资讯进行储存与分析,企业可以完全掌控网路的所有存取资讯.当发生网路问题时,透过 Splunk 的 SaveSearch 可以立刻完成异常设备定位,迅速排除问题,以确保企业营运与永续经营.
Splunk 强大的 Index 与 SaveSearch 功能,可以提供: 1. 显示目前所有网路设备上 MAC address 状态 2. 显示现在(今天)网路上出现的非法 MAC address 3. 显示网路上曾经出现过的非法 MAC address 4. 查询某个网路节点连接的所有资讯 5. 查询某个 MAC address 连接之所有资讯 6. 历史资料稽核能力 Splunk for MAC address 安装设定 开始进行 Splunk for MAC address 安装设定 STEP 1: Splunk 结合 SNMP 方式,即时纪录网路上所有设备的 MAC address 运作状况,本案例作业系统环境采取 Linux,因此请 下载 Splunk for Linux distributions 版本安装.下载网址如下: http://www.splunk.com/download
STEP 2: 於网路设备上,启动 SNMP 功能. 指令:snmp-server community systex rw 说明:设定 snmp 使用 systex 作为沟通密码
图 8-2-1:网路设备启动 SNMP 功能画面
STEP 3: 由於采取 SNMP 方式进行资料收集,请确认作业系统中已经完成 Net-SNMP 安装,若尚未安装,请安装 Net-SNMP 5.4 版 download link,网址如下: http://www.net-snmp.org/download.html 检查 Net-SNMP 指令:snmpwalk -V. snmpwalk
图 8-2-2:Net-SNMP 运作确认画面
STEP 4: 由於透过 SNMP 收集的资料并非任何常见格式,因此需要额外进行定义. 1. 於$SPLUNK_HOME/etc/system/local 目录中新增档案 props.conf 内容为 [MacAddress] REPORT-MacAddress = MacAddress
图 8-2-3:props.conf 内容画面 2. 於$SPLUNK_HOME/etc/system/local 目录中新增档案 transforms.conf 内容为 [MacAddress] REGEX = (\d{4}\-\d{2}\-\d{1,2})\s(\d{2}\:\d{2})\s(\w+)\s(\w+\/\d+)= (\w{2}\:\w{2}\:\w{2}\:\w{2}\:\w{2}\:\w{2}) FORMAT = date::$1 time::$2 device::$3 port::$4 mac-add::$5
图 8-2-4:transforms.conf 内容画面 附注 REGEX 正规化表示式,内容为同一行 REGEX=(\d{4}\-\d{2}\-\d{1,2})\s(\d{2}\:\d{2})\s(\w+)\s(\w+\/\d+)=(\w{2}\:\w{2}\:\w{2}\:\w{2}\:\w{2}\:\w{2})
STEP 5: 重新启动 Splunk,於$SPLUNK_HOME/bin/目录中执行 Splunk restart

下一页