SplunkforSnort Link hướng dẫn: http://layer8problem.blogspot.com/2009/03/collecting-snort-logs-with-splunk.html Tại quyền root máy Splunk: Tải app SplunkforSnort địa chỉ: https://splunkbase.splunk.com/app/340/#/details Copy file splunk-for-snort_05.tgz vào máy Splunk thông qua phần mềm FileZilla Giải nén file vào /opt/splunk/etc/apps Khởi động Splunk /opt/splunk/bin/splunk start accept-license Vào giao diện web Splunk địa chỉ: http://IP:8000 Chọn Setting Add data monitor TCP/UDP chọn port 514 Configure Snort to send logs Tại quyền root máy Snort: sudo apt-get install syslog-ng Sửa file: sudo vi /etc/syslog-ng/syslog-ng.conf thêm vào cuối file dòng sau: source s_tail { file("/var/log/snort/snort.u2*" follow_freq(1) flags(no-parse) ) ; }; destination stail2 { }; tcp("10.0.0.22") ; log { source(s_tail); destination(stail2); flags(flow-control); }; Chữ màu đỏ thư mục log snort, giao thức sử dụng địa máy Splunk ... Snort to send logs Tại quyền root máy Snort: sudo apt-get install syslog-ng Sửa file: sudo vi /etc/syslog-ng/syslog-ng.conf thêm vào cuối file dòng sau: source s_tail { file("/var/log /snort/ snort.u2*"... source(s_tail); destination(stail2); flags(flow-control); }; Chữ màu đỏ thư mục log snort, giao thức sử dụng địa máy Splunk