Как стать автором
Обновить

Splunk + Check Point, пример анализа логов вашего фаервола

Время на прочтение4 мин
Количество просмотров10K
Всего голосов 7: ↑7 и ↓0+7
Комментарии10

Комментарии 10

Да, спасибо! Совсем забыли про него сказать.

Оно действительно неплохое! Правда у него есть небольшой недостаток, оно 2015 года…
Коллеги,

Статья интересная. Но можете поделиться вашим опытом, мыслями в чем польза использования Splunk? Какой, так сказать, экономический эффект даст использование этой системы?

Splunk далеко не дешевый продукт.
Думаю, что если у вас возникает подобный вопрос, то Splunk вам не нужен. Без обид, но такой подход не совсем правильный — Увидеть интересное решение и подумать, как же его применить у себя в системе. Гораздо правильнее, когда появляется потребность, а затем вы уже ищите способы решения с помощью того или иного инструмента. Видимо у вас нет таких потребностей, поэтому применимость и польза Splunk-а вам не понятна.
Формально, SEM системы призваны облегчить работы по ручному анализу логов. Соответственно, если такой анализ регулярно не проводится, или его стоимость исчезающе мала — то и экономического эффекта тут не будет.
В подготовке Check Point — нужно сначала отметить галочку LEA, и только потом появляется вторая вкладка Permissions, на которую можно перейти.
В п.4 я ставил на Ubuntu x64, там указанных пакетов нету. Долго мучался как поставить нужные 32-битные библиотеки. Судя по хистори делал примерно такое (может еще кому поможет):

dpkg --add-architecture i386
apt-get update
apt-get install libbz2-1.0:i386
apt-get install pam.i686
apt-get install ia32-libs
apt-get install lib32ncurses5 lib32z1
apt-get install libc6:i386 libpam0g:i386


После этого Splunk перестал ругаться на отсутствие glibc.i686 и я смог создать Connection в APP Splunk Add-on for Check Point OPSEC LEA
Зарегистрируйтесь на Хабре, чтобы оставить комментарий