1.Mục đích bài viết
Bài viết sẽ hướng dẫn cấu hình Syslog server để lưu log của Sophos Firewall về hệ thống SIEM Splunk Enterprise.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 192.168.2.103.
- Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 10.145.41.1/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
- Cuối cùng là thiết bị máy chủ có IP 10.145.41.11/24 được kết nối vào port 1, trên máy chủ này đã được cài đặt phần mềm thu thập, quản lý và phân tích log Splunk Enterprise.
3.Tình huống cấu hình
Chúng ta sẽ thực hiện cấu hình syslog server trên thiết bị tường lửa Sophos Firewall để thiết bị này gửi log của chính nó đến phần mềm Splunk Enterprise được cài đặt trên máy chủ.
4.Các bước thực hiện
- Cấu hình Add Data Inputs.
- Cấu hình Syslog Server.
- Kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.Cấu hình Add Data Inputs
Để cấu hình cần đăng nhập vào trang quản trị của Splunk.
Vào Settings > Data Inputs.
Trong Local Inputs, kéo xuống phần UDP và nhấn New.
Trong Add Data điền các thông tin sau:
- Chọn UDP.
- Port: 514
- Only accept connection from: điền địa chỉ cổng LAN của Sophos là 10.145.41.1.
- Nhấn Next để tiếp tục.
Tại Input Settings điền và chọn các thông tin sau:
- Chọn New.
- Source Type: nhập XG_log.
- Source Type Category: chọn Custom từ danh sách thả xuống.
- Nhấn Review.
Review lại cấu hình và nhấn Submit.
Như vậy là chúng ta đã hoàn thành phần cấu hình trên Splunk.
5.2.Cấu hình Syslog Server
Để cấu hình cần đăng nhập vào trang quản trị của Sophos Firewall.
Vào System Services > Log Settings và nhấn Add.
Cấu hình Syslog Server cho Splunk với các thông tin sau:
- Name: splunk.
- IP address /Domain*: nhập IP của Splunk server là 10.145.41.11.
- Port*: nhập 514.
- Facility*: chọn DAEMON.
- Security level*: Chọn Notification.
- Format*:chọn Device Standard Format.
Sau khi cấu hình xong, trong Log Settings sẽ có một cột tên là splunk mà chúng ta vừa tạo, hãy chọn các loại sự kiện muốn gửi đến máy chủ Splunk và nhấn Apply.
5.3.Kiểm tra kết quả
Để kiểm tra truy cập vào trang quản trị của Splunk và vào Apps > Search & Reporting.
Nhấn vào mục Data Summary.
Bảng Data Summary hiện lên, nhấn vào Hosts sẽ hiện lên IP của Sophos Firewall.
Nhấn vào IP này để vào xem log.
Log của Sophos Firewall sẽ hiện ra như hình sau.