Tài liệu

HƯỚNG DẪN CÀI ĐẶT

Splunk Add-on for Juniper

Created by:

Vietnam Cyberspace Security Technology JSC (VNCS)

Hanoi, December 2016

 Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

MỤC LỤC

1. Giới thiệu về Splunk Add-on for Juniper ............................................................................................. 3

a. Phiên bản ........................................................................................................................................... 3
b. Source types ....................................................................................................................................... 3
2. Download và cài đặt ............................................................................................................................. 4
3. Cấu hình ............................................................................................................................................... 4

Vietnam Cyberspace Security Technology., JSC (VNCS) - A Member of Hanoi Telecom Corporation 2
Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi
Website: www.vncs.vn | Email: sales@vncs.vn | Tel: +84 46291 1416
 Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

1. Giới thiệu về Splunk Add-on for Juniper

Splunk Add-on for Cisco ASA cho phép đẩy log từ các thiết bị uniper IDP, Juniper
NetScreen Firewall, Juniper NSM, Juniper NSM IDP, Juniper SSLVPN, Junos OS và
Juniper SRX sử dụng syslog về máy chủ Splunk.

a. Phiên bản

b. Source types

Vietnam Cyberspace Security Technology., JSC (VNCS) - A Member of Hanoi Telecom Corporation 3
Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi
Website: www.vncs.vn | Email: sales@vncs.vn | Tel: +84 46291 1416
 Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

2. Download và cài đặt

- Download add-on: https://splunkbase.splunk.com/app/2847/
- Cài đặt add-on được download về.

3. Cấu hình
a. Trên Juniper devices
- Juniper OS (Source type: juniper:junos:idp và juniper:junos:firewall )

set system syslog host [host] any error

set system syslog file qflogs
set system syslog file qflogs structured-data brief
set system syslog file qflogs archive size 1g
Kết quả:
user@switch# show system
syslog {
file qflogs {
}
host [host] {
any error;
}
}

Vietnam Cyberspace Security Technology., JSC (VNCS) - A Member of Hanoi Telecom Corporation 4
Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi
Website: www.vncs.vn | Email: sales@vncs.vn | Tel: +84 46291 1416
 Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

- Juniper Netscreen:
set syslog config [host]
set syslog config [host] facilities local0 local0
set syslog config [host] log traffic
set syslog src-interface <<interface name>>
set syslog enable

- Juniper NSM (source type juniper:nsm và juniper:nsm:idp ):

Đăng nhập NSM GUI
Vào Action Manager > Action Parameters
Điền ip của Syslog Server và Syslog facility
Click “OK”
- Juniper SRX:
user@host# set system syslog host [host] any any
user@host# set security log mode stream
user@host# set security log format syslog
user@host# set security log source-adress [SRX ip]
user@host# set security log stream securitylog category all host [host]
Kiểm tra:
user@host# show system syslog

Tham khảo

b. Trên Splunk

Splunk add-on for Juniper nhận dữ liệu đầu vào thông qua port UDP. Cấu hình UDP
input phù hợp với cấu hình trên Juniper và set source type phù hợp.

Chạy lệnh search để kiểm tra:

sourcetype = juniper*

Nếu nhận dữ liệu từ Juniper NetScreem Firewall, chạy lên search:

sourcetype = netscreen:firewall

Vietnam Cyberspace Security Technology., JSC (VNCS) - A Member of Hanoi Telecom Corporation 5
Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi
Website: www.vncs.vn | Email: sales@vncs.vn | Tel: +84 46291 1416