KB N°2809: Envoyer les logs de navigation sur le SIEM Splunk Enterprise

Cet article est un pas à pas permettant de connecter votre Olfeo OP vers votre SIEM Splunk Enterprise 9.1.1 afin d’y envoyer vos logs de navigation.

Pré-requis

Le port 514 en sortie doit être ouvert en sortie pour l’Olfeo vers le serveur Splunk Enterprise et celui-ci doit accepter les requêtes sur le port 514.

Afin d’accepter les requêtes sur le port 514 sur un serveur Splunk Enterprise sous CentOS vous pouvez utiliser la commande suivante :

sudo firewall-cmd --add-port=514/tcp --zone=public --permanent && sudo firewall --reload

Etapes

• Afin de rediriger les logs vers un fichier dédié à Olfeo, ouvrez votre fichier de configuration rsyslog /etc/rsyslog.conf puis rajoutez la ligne suivante dans la partie #### RULES #### (vous pouvez modifier le fichier dans lequel il doit envoyer les logs):

if $programname == 'olfeo' then /var/log/olfeo.log

• Redémarrez le daemon Rsyslog avec la commande suivante :

systemctl restart rsyslog

• Puis attribuez la propriété du fichier /var/log/olfeo.log à l’utilisateur splunk et au groupe splunk :

chown splunk:splunk /var/log/olfeo.log

• Dans l’interface d’administration de votre maître Olfeo, rendez-vous dans Paramétrage > Supervision > Syslogpuis Ajouter un serveur syslog. Vous pouvez alors remplir les champs Libellé, Serveur (IPv4 ou FQDN) et cocher la case Envoyer les logs de trafic.