KB N°2809: Envoyer les logs de navigation sur le SIEM Splunk Enterprise

Publié le 24 novembre 2023

Cet article est un pas à pas permettant de connecter votre Olfeo OP vers votre SIEM Splunk Enterprise 9.1.1 afin d’y envoyer vos logs de navigation.

Pré-requis

Le port 514 en sortie doit être ouvert en sortie pour l’Olfeo vers le serveur Splunk Enterprise et celui-ci doit accepter les requêtes sur le port 514.

Afin d’accepter les requêtes sur le port 514 sur un serveur Splunk Enterprise sous CentOS vous pouvez utiliser la commande suivante :

sudo firewall-cmd --add-port=514/tcp --zone=public --permanent && sudo firewall --reload

Etapes

  • Afin de rediriger les logs vers un fichier dédié à Olfeo, ouvrez votre fichier de configuration rsyslog /etc/rsyslog.conf puis rajoutez la ligne suivante dans la partie #### RULES #### (vous pouvez modifier le fichier dans lequel il doit envoyer les logs):
if $programname == 'olfeo' then /var/log/olfeo.log
  • Redémarrez le daemon Rsyslog avec la commande suivante :
systemctl restart rsyslog
  • Puis attribuez la propriété du fichier /var/log/olfeo.log à l’utilisateur splunk et au groupe splunk :
chown splunk:splunk /var/log/olfeo.log
  • Dans l’interface d’administration de votre maître Olfeo, rendez-vous dans Paramétrage > Supervision > Syslog puis Ajouter un serveur syslog. Vous pouvez alors remplir les champs Libellé, Serveur (IPv4 ou FQDN) et cocher la case Envoyer les logs de trafic.

  • Rendez-vous sur votre interface d’administration Splunk Enterprise dans Paramètres > Entrées de données > Fichiers & répertoires puis Nouveau fichier/répertoire
  • Choisissez le fichier /var/log/olfeo.log et laissez Monitoring continu sélectionné

  • Dans l’étape suivante, choisissez syslog comme sourcetype

  • Sur la page suivante vous pourrez personnaliser le contexte dans lequel se retrouveront les logs et le nom d’hôte et l’index. Ces valeurs n’ont pas d’incidence sur l’envoi des logs depuis Olfeo
  • Vous pouvez alors soumettre la création de ce monitoring
  • En cliquant sur Lancer la recherche vous trouverez alors les logs de navigation de votre Olfeo