Оповещение на почту в режиме реального времени. Реально? Или как сделать Alert в Splunk — Часть 1

  • Tutorial
Сколько времени проходит с момента возникновения какого-то важного события до реакционных действий? Зачастую очень много! Одним их факторов влияющих на время реакции служит несвоевременное информирование персонала, отвечающего за принятие решений.



Сегодня мы расскажем вам о том, как получать уведомления о возникновении важных инцидентов безопасности, критическом состоянии IT систем, существенных отклонениях от нормы различных показателей или о других интересных для вас событиях в режиме реального времени и в удобном формате, в частности по электронной почте.

Реализовывать алерты, или иначе говоря оповещения, будем в Splunk, продукте, специализирующемся на анализе машинных данных, о котором мы писали ранее.

Задача


Компания X хочет получать уведомления на почту о неудачных попытках аутентификации в Splunk, а также о тех случаях, когда брендмауэр идентифицирует события с высоким уровнем риска, относящихся к приложениям или сайтам. В сообщениях должны быть основные данные о событии в удобной для получателя записи.

Реализация


Контроль аутентификации


Формируем запрос, идентифицирующий интересующее нас событие, и представляем в виде таблицы со столбцами, которые должны оказаться в сообщении (о том как писать поисковые запросы в Splunk мы писали ранее здесь). Сохраняем: «Save As» — «Alert»



Настраиваем алерт: Устанавливаем тип оповещения – Real-time. Для срабатывания указываем условие, что количество событий в 1 минуту должно быть больше нуля. Добавляем действие при срабатывании алерта. В сообщениях можно использовать токены, которые получают доступ к информации о поиске, в том числе значения полей. Все токены можно найти по следующей ссылке.




Для отправки сообщений еще необходимо настроить почтовый сервер в Splunk и установить с какой почты будут отправляться сообщения. «Settings» — «Server settings» — «Email settings».



При появлении данного события получаем сообщение на почту



Аналогично выполняется настройка отправки оповещения о инцидентах, идентифицируемых брандмауэром.

Идентификация высокорискового события




Заключение


Таким образом, мы с помощью Splunk быстро и легко настроили оповещения, которые помогут своевременно реагировать на реализацию проблемных событий.

Мы рады ответить на все ваши вопросы и комментарии по данной теме. Также, если вас интересует что-то конкретно в этой области, или в области анализа машинных данных в целом — мы готовы доработать существующие решения для вас, под вашу конкретную задачу. Для этого можете написать об этом в комментариях или просто отправить нам запрос через форму на нашем сайте.

P.S.


28 июня 2018 г. в Москве будет проводиться обучение "Splunk Getting Started", на котором за 6 часов участники получат теоретическую базу и практические навыки по работе в Splunk. Узнать об обучении больше и зарегистрироваться можно по этой ссылке.
TS Solution 132,47
Системный интегратор
Поделиться публикацией
Комментарии 3
    0

    Для оперативного оповещения об инцидентах следует использовать смс

      0
      Как говорится, на вкус и цвет… но, безусловно, электронной почтой все не ограничивается и можно реализовать отправку как СМС, так и сообщений в мессенджерах, например в Telegram.
      0
      Splunk как оповещатель в реальном времени не очень из-за механизма сбора логов(Splunk Forwarder). Иногда может занять несколько минут прежде чем ваш ивент который должен триггернуть алерт достигнет Splunk. Prometheus для on call alerts гораздо удобнее.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое