Monday, October 11, 2021

Config inputs.conf Blacklist specific Windows Event Logs trên Splunk Forwarder

 

Windows Event Logs có rất nhiều audit // security data được ghi nhận. 

Do đó để tránh nhiễu do quá nhiều log, cũng là giải quyết vấn đề log rác hoặc log trùng, cần phải blacklist 1 số events. 

VD: Windows Firewall events có EventCode=5156 liên quan đến DNS traffic và kết nối 1 số internal web sites cụ thể. Rõ ràng đây là những events thừa thãi, không cần thiết. Hay hơn nữa, cần lưu được query domain name trong dns logs, hơn là log ghi nhận dns traffic. Xem  thông tin 1 event 5156 trên Windows:



Đối với giải pháp Splunk, cần blacklist trên config của Spl forwarder theo các HD sau:
* 5 Examples vv blacklist // exclude data > https://docs.splunk.com/Documentation/Splunk/8.2.2/Data/Whitelistorblacklistspecificincomingdata
* Nhưng để hiểu cách cấu hình blacklist, tham khảo kỹ https://docs.splunk.com/Documentation/Splunk/8.2.2/Admin/Inputsconf 
* Nếu còn thời gian thì tham khảo tiếp https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/MonitorWindowseventlogdata 



 

2 comments:

Chinh said...

Tham khảo cách sd regex Splunk https://kinneygroup.com/blog/regular-expressions-in-splunk/

Unknown said...

Hi Anh Chính,

Anh có thể cho xin email để mình xin Anh tư vấn về Splunk và Snort được không ah, nghe thì hay quá mà làm thì chưa có kết quả

Cảm on Anh.

Thanh