Splunk: Italian Garante Privacy Amministratori di Sistema compliance
Con mia sorpresa ho scoperto che tra le apps che si possono aggiungere a Splunk ne esiste una realizzata da Consoft-Sistemi già pronta per la verifica dei requisiti imposti dal Provvedimento del Garante per la Privacy (G.U. n. 300 del 24 dicembre 2008) relativa alla gestione delle operazioni di audit dell’attività degli Amministratori di Sistema.
Questa applicazione è concessa con licenza Creative Commons BY-NC-SA 2.5 e l’ultima versione disponibile è la 1.2.1.
Scaricate l’app su disco e per l’installazione occorre logarsi via web al proprio splunk server e dal menù Manager–>Apps cliccare sul pulsante “Install app from file” come da figura sotto:
Lanciando l’applicazione otterremo:
Splunk non si limita a registrare gli accessi riusciti, ma anche i tentativi falliti di accesso ai sistemi ed i logout dai sistemi, estendendo quindi il campo di ricerca possibile.
L’applicazione viene fornita con dashboard che analizzano alcune le seguenti sorgenti dati:
- “WINDOWS” = log security di windows
- “WINDOWS APP” = log application di windows
- “LINUX AUDIT” = file di audit linux
- “LINUX ORACLE” = log oracle in ambiente linux
- “CISCO” = apparecchiature CISCO
- “DOCUMENTUM” = log applicazione Documentum
- “MAINFRAME” = log mainframe prelevati tramite FTP
- “DB2” = log DB2
L’applicazione è davvero ben fatta e soddisfa i criteri del provvedimento in questione.
Per l’utilizzo completo dell’app vi rimando al manuale completo che trovate all’interno del file dell’app “GARANTE.tar.gz”.
Sarebbe interessante poter avere i commenti su questa app dagli utilizzatori…..postate gente, postate!
IZ
06/05/2011 alle 01:59
Grazie per la segnalazione! Già usavo splunk per la piccola azienda dove lavoro ma è gradito dare la possibilità di una applicazione mirata allo scopo per i miei superiori abbastanza profani di informatica!
Però ad essere sincero questa app non mi riconosce nessun evento presente in splunk!
Con che criteri determina gli utenti amministratori dagli altri che evidentemente filtra?
23/05/2011 alle 23:23
Ciao Daniele
cito dalla documentazione dell’appliance:
L’applicazione può essere personalizzata integrando qualunque altra sorgente dati, utilizzando come template le definizioni fornite.
2 – CAMPO UTENTE
Ogni evento di login/logout contiene il riferimento all’utente che ha effettuato l’operazione.
E’necessario che l’utente venga referenziato con lo stesso nome di campo, ad esempio User_Name, in tutte le sorgenti dati.
Affinché l’applicazione funzioni è quindi necessario definire questo campo per ognuna delle sorgenti dati presenti.
3 – TAG
E’ necessario definire alcuni tag utilizzati nelle search:
Nome tag: ADMUSR
Scopo: Identificare gli utenti AdS, distinguendoli da eventuali altri utenti presenti nel repository
NOTA : Le search che popolano le dashboard fanno riferimento al tag=ADMUSR
A questo scopo occorre modificare il file:
*%splunk_home%/etc/apps/GARANTE/Default/tags.conf
accodando ai TAG già presenti nuovi TAG relativi all’identificazione degli ADMUSR (propri di ciascuna azienda)
IZ
13/09/2011 alle 16:23
ho agiunto i TAG ma non trova niente, ho Windows 2008 R2 in italiano e ho visto che nei
ho c’è LOGIN o LOGOFF ma Accesso e Disconnessione è questo il motivo ?
[User_Name=Administrator]
ADMUSR = enabled
[User_Name=Admin]
ADMUSR = enabled
# [User_Name=root]
# ADMUSR = enabled
[User_Name=Mario]
ADMUSR = enabled
12/10/2011 alle 23:51
Ciao,
si occorre personalizzare i files di configurazione tags.conf e eventtypes.conf
IZ
19/09/2011 alle 12:04
anche io ho lo stesso problema con windows server 2003 R2. Apparentemente gli utenti dentro sono già giusti e non dovrebbe servire nessun tag in più
03/10/2011 alle 11:08
Ciao,
sto provando l’applicazione, ma non riesco a farla funzionare, o meglio, non vedo nessun log di login o logoff in nessuna schermata.
Probabilmente è solo un problema di configurazione dell’applicazione stessa, perchè se su Splunk installao la app “windows” vedo che splunk cattura effettivamente tutti i log di login e logoff.
Nei server windows uso “snare for windows” per inviare i log a splunk.
Sapete aiutarmi ?
12/10/2011 alle 23:41
Ciao
copio e incollo le istruzioni fornite con l’app:
1 – SORGENTI DATI (SOURCETYPE)
L’applicazione viene fornita con dashboard che analizzano alcune sorgenti dati comuni, così identificate:
“WINDOWS” = log security di windows
“WINDOWS APP” = log application di windows
“LINUX AUDIT” = file di audit linux
“LINUX ORACLE” = log oracle in ambiente linux
“CISCO” = apparecchiature CISCO
“DOCUMENTUM” = log applicazione Documentum
“MAINFRAME” = log mainframe prelevati tramite FTP
“DB2” = log DB2
L’applicazione può essere personalizzata integrando qualunque altra sorgente dati, utilizzando come template le definizioni fornite.
2 – CAMPO UTENTE
Ogni evento di login/logout contiene il riferimento all’utente che ha effettuato l’operazione.
E’necessario che l’utente venga referenziato con lo stesso nome di campo, ad esempio User_Name, in tutte le sorgenti dati.
Affinché l’applicazione funzioni è quindi necessario definire questo campo per ognuna delle sorgenti dati presenti.
3 – TAG
E’ necessario definire alcuni tag utilizzati nelle search:
Nome tag: ADMUSR
Scopo: Identificare gli utenti AdS, distinguendoli da eventuali altri utenti presenti nel repository
NOTA : Le search che popolano le dashboard fanno riferimento al tag=ADMUSR
A questo scopo occorre modificare il file:
*%splunk_home%/etc/apps/GARANTE/Default/tags.conf
accodando ai TAG già presenti nuovi TAG relativi all’identificazione degli ADMUSR (propri di ciascuna azienda)
**********************
Nome tag: LOGIN
Scopo: Normalizzare le ricerche degli eventi di LOGIN, indipendentemente dalla piattaforma
Nome tag: LOGFAIL
Scopo: Normalizzare le ricerche degli eventi LOGIN FAILED, indipendentemente dalla piattaforma
Nome tag: LOGOUT
Scopo: Normalizzare le ricerche degli eventi LOGOUT, indipendentemente dalla piattaforma
NOTA: Le search che popolano le dashboard fanno riferimento a tag=LOGIN, TAG=LOGFAIL, TAG=LOGOUT
I tre TAG sono stati definiti tramite il tagging di eventtypes.
Qualora gli eventtypes disponibili non fossero sufficienti (per la presenza di piattaforme non contemplate) occorre integrare
la lista esistente con nuovi eventtypes.com (keywords per documentazione ufficiale: “About event types”,”Tag event types”)
IZ
09/01/2012 alle 18:56
E’ ancora possibile scaricare in rete la vs 1.21? La 1.22 è una App informativa di poca utilità.
28/04/2015 alle 22:37
ciao, ero interessato pure io a trovare la versione 1.21. Ci sei riuscito? Oppure hai trovato alternative?
grazie
29/04/2015 alle 10:11
Ciao,
La 1.21 non è più disponibile ma solo la 1.7.0
https://splunkbase.splunk.com/app/366/
IZ