Splunk

Splunk: Italian Garante Privacy Amministratori di Sistema compliance

Postato il Aggiornato il

Con mia sorpresa ho scoperto che tra le apps che si possono aggiungere a Splunk ne esiste una realizzata da Consoft-Sistemi già pronta per la verifica dei requisiti imposti dal Provvedimento del Garante per la Privacy (G.U. n. 300 del 24 dicembre 2008) relativa  alla gestione delle operazioni di audit dell’attività degli Amministratori di Sistema.
Questa applicazione è concessa con licenza Creative Commons BY-NC-SA 2.5 e l’ultima versione disponibile è la 1.2.1.
Leggi il seguito di questo post »

Annunci

Splunk: syslog server per vmware esxi

Postato il Aggiornato il

In un’infrastruttura virtuale basata su diversi vmware esxi stand-alone, quindi senza una gestione centralizzata tramite il vCenter, risulta comodo poter disporre di un syslog server che funga da repository centrale per la  raccolga dei log degli host esxi.
Un syslog server, oltre che per la comodità della centralizzazione , è anche utile per la storicizzazione dei log di esxi perché nella versione 4.0 i log vengono salvati nella directory /var/log/messages che viene però svuotata al riavvio dell’host.
Nella versione 4.1 invece i log vengono preservati anche dopo un restart dell’host ma la directory di default è cambiata in /scratch/log/messages  accessibile però solo tramite la Tech Support Console.
Per conservare e gestire il log di esxi occorre quindi impostare un forwarding dei log verso un syslog server utilizzando in questo caso Splunk.
In questo mio post illustro cosa è Splunk e come si installa su una macchina linux.
In quest’altro post invece spiego come realizzare un access control per splunk tramite Nginx.
Leggi il seguito di questo post »

User authentication tramite Nginx per Splunk free edition

Postato il Aggiornato il

Visto le numerose richieste, ho deciso di dedicare un intero post  sull’utilizzo di Nginx con funzione di reverse proxy server e user autentication per la versione gratuita di Splunk che è priva appunto della funzione di access control.
Parto dai miei precedenti articoli su Splunk e su Nginx come base per questo post che prende in considerazione, inutile dirlo, una macchina linux (ubuntu), con i 2 applicativi già installati e funzionanti.
Splunk risponde sulla porta web 8000 che andrà bloccata da accessi esterni ma dovrà essere disponibile per Nginx solo a livello di localhost.
Sarà solo Nginx che risponderà alle richieste  di acceso a splunk  via web sulla porta 80 proxando il traffico localmente verso la porta 8000.
Leggi il seguito di questo post »

Soluzione free/Open Source al provvedimento del garante privacy sugli Amministratori di sistema

Postato il Aggiornato il

Come molti di voi sapranno il 15 Dicembre 2009 è entrato in vigore  il provvedimento del garante che prevede la registrazione e la conservazione per almeno 6 mesi dei log di accesso degli amministratori di sistema.
Non è questa la sede per discutere della bontà o meno del provvedimento ma in soldoni il garante intende regolamentare, nelle aziende, gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratore di sistema (ads) , in quanto questa figura professionale possiede, per sua natura tecnica, particolari privilegi per accedere a qualunque sistema e apparato informatico presente in azienda.
Non mi propongo assolutamente come esperto in materia di privacy anzi, ma visto che occorre adeguarsi al provvedimento e la cosa mi tocca molto da vicino essendo ads io stesso, ho cercato una soluzione gratuita e possibilmente open source che soddisfi almeno i requisiti minimi di tale provvedimento.
Facendo una ricerca sulla rete ho “intuito” che molte delle soluzioni commerciali proposte non erano altro che sistemi open source maccheronati e mascherati venduti però a peso d’oro alle aziende.

Leggi il seguito di questo post »