Cómo enviar los eventos y logs generados por una SAN EMC Dell a un servidor de SIEM con Splunk Enterprise.
- Requisitos para enviar log de SAN Dell EMC a SIEM Splunk.
- Añadir data input en Splunk para recibir datos de SAN Dell EMC.
- Configurar remote logging en SAN Dell EMC.
Requisitos para enviar log de SAN Dell EMC a SIEM Splunk
Dispondremos de un servidor de SIEM con Splunk Enterprese. En el siguiente artículo explicamos cómo instalarlo en Windows Server 2022:
Y en este otro artículo explicamos cómo instalarlo en Linux:
Dispondremos de un dispositivo de almacenamiento en fibra SAN de la marca Dell EMC. En concreto usaremos el modelo Unity para el envío de los log/eventos que genera al SIEM Splunk.
Necesitaremos disponer de acceso a la consola web de gestión de la SAN Dell EMC y también a la consola web de gestión de Splunk Enterprise.
Añadir data input en Splunk para recibir datos de SAN Dell EMC
En primer lugar, desde la consola de gestión web de Splunk Enterprise, añadiremos un data input UDP. Para ello, pulsaremos en «Settings» y en «Data inputs»:
En «UDP» pulsaremos en «+ Add new»:
Elegiremos un puerto UDP para la conexión, por ejemplo el 516:
Introduciremos los datos para el input:
- Source Type: elegiremos «New» e introduciremos el nombre SAN-EMC.
- Source Type Category: elegiremos una categoría, por ejemplo «Log to Metrics».
- Index: elegiremos un índice existente o bien crearemos uno nuevo específico para los log de la SAN. En este índice podremos indicar la política de retención (días transcurridos a partir de los cuales se eliminarán los log antiguos) y otras propiedades.
Si los datos son correctos, pulsaremos «Next» para crear el input.
Configurar remote logging en SAN Dell EMC
Desde la consola de gestión web de la SAN Dell EMC, pulsaremos en el icono de configuración general (System Settings):
En «Management» [1], pulsaremos en «Remote Logging» [2] y el añadir «+» [3]:
Estableceremos los datos de configuración del servidor SIEM Splunk, la dirección IP y el puerto, con el formato IP:puerto. Elegiremos el tipo de mensajes que se enviarán (Facility) y el nivel (Severity). Y elegiremos el protocolo de conexión (Port Type), entre UDP o TCP. En nuestro caso, con la siguiente configuración:
- Address: 192.168.1.100:516.
- Facility: User-Level Messages.
- Severity: Info and Above.
- Port Type: UDP.
A partir de ahora, la SAN EMC enviará los log al servidor SIEM Splunk.