si10 explotacio de_la_informació_operacional_fem_magia
TRANSCRIPT
Explotació de la informació
operacional, fem màgia?
Índex
1. Intel·ligència empresarial
2. Espeleologia de les dades 2. Espeleologia de les dades
3. Fem màgia?
4. Cas d’èxit
1958 Hans Peter Luhn (investigador IBM): “La capacitat de comprendre les interrelacions dels fets presentats de forma que
ens orienti a l'acció d'un fi desitjat"
Evolució intel·ligència empresarial
1998 Howard Dresnerd (futur analista de Garnter): "Intel·ligència de negocis com a terme general per descriure els conceptes i
mètodes per a millorar la presa de decisions empresarials mitjançant l'ús en sistemes de suport"
Intel·ligència empresarial
Linux tools
awk & sed & grep & cut...
Índex
1. Intel·ligència empresarial
2. Espeleologia de les dades
3. Fem màgia?
4.Cas d’èxit amb Comunicacions
Splunk
spelunking o espeleologia de dades
Fonts d’informació
Com és diferència Splunk
Demostració
Fem màgia?
Aplicacions de Splunk
Anàlisi de fonts externes
https://www.tcconsole.com/login.html
https://dl.shadowserver.org/reports/index.php
Fem màgia a Comunicacions
Cas d’èxit
Com es gestionaven els logs abans d’Splunk?
� Un únic fitxer de mida molt gran
� Dificultat de gestió de les dades
� Greps+tails...
� Descentralització de les dades
� Amb un bon filtre és fàcil de gestionar els logs en temps real• tail -f /var/log/messages | grep -v -E '%BGP-3-
MAXPFXEXCEED|%VOIPAAA-5-VOIP|%SEC-6-IPACCESS|%PIM-6-INVALID_RP_JOIN|%PORT_SECURITY-2-PSECURE_VIOLATION:|%IP-TCP-3-BADAUTH|%CDP-4-DUPLEX_MISMATCH:'
Què hem aconseguit?
� Centralització en una mateixa plataforma
� Agilitat en les cerques
� Estadístiques
• WIFI-A• WIFI-A– Connexions mensuals totals
– Connexions totals per servidor radius
• WIFI-B– Connexions mensuals totals
– Connexions totals per usuari
Procés de configuració client
� $ModLoad imfile
� $InputFileName /var/log/radiuscesca/intents.log
� $InputFileTag WIFI-A
� $InputFileStateFile *� $InputFileStateFile *
� $InputFilePollingInterval 10 seconds
� $InputFileName /var/log/radiusanella/auth.log
� $InputFileTag WIFI-A
Procés de configuració client
� $InputFileStateFile *
� *.* @172.25.22.10:514
� /opt/splunk/etc/system/local/inputs.conf
– [udp://172.25.8.10:514] # quermany-host.loc– [udp://172.25.8.10:514] # quermany-host.locdisabled = falsehost = 172.25.8.10sourcetype = syslogconnection_host = dns
Conceptes bàsics Splunk
� Event: Entrada única de dades
� Source/sourcetype: Nom del arxiu d’un event en particular
� Host: Nom del dispositiu
� Index :Classificació dels events� Index :Classificació dels events
� Fields: Camps dels events
� Tags: Àlies dels fields
� Eventtypes: Cerques referenciades per classificar els events
Conceptes bàsics Splunk
� Reports: On s’emmagatzemen les cerques
� Dashboards: Panell de control on podem emmagatzemar els reports
� Apps: Software per aconseguir més funcionalitats al Splunk
Estadístiques Splunk
� host=“host-a" process=“wifi-a" eventtype="Radius-OK y sense test" | dedup _time | rex "(?i)\\..*? (?P<FIELDNAME>\\w+@\\w+\\.\\w+)(?= )" | top 5 FIELDNAME
� Radius-OK y sense test : "OK" AND NOT "test" AND NOT "[email protected]" AND NOT "prova"
Estadístiques Splunk
� host="grafit.xgm.cesca.cat" process="eduroam" eventtype="Eduroam" | rex "(?i)^[^\\(]*\\((?P<FIELDNAME>[^\\)]+)" | top 10 FIELDNAME
� WIFI : "ACCEPTAT" AND NOT "test" AND NOT "[email protected]" AND NOT "prova"
“Logs can run, but they
Lliçó
can't hide”