Récupérer des syslogs sur Splunk Résolu/Fermé

Question

Bonjour, 

je suis actuellement en stage sur la centralisation e l'analyse de logs et je me trouve bloqué. En effet, j'ai réussi à obtenir, sur mon serveur Splunk, des donnée provenant d'un serveur Windows. Cependant, j'ai essayé par tous les moyens de récupérer des syslogs provenant d'un switch mais je n'y arrive pas. J'ai pourtant bien configuré Splunk pour qu'il écoute le port 514 mais rien n'y fait... 
Dernier détail, mon serveur Splunk est installé sur Windows 7. 

Merci pour vos réponses

Rayke · Accepted Answer

Ok donc j'ai trouvé, c'était juste le pare-feu Windows qui bloquais...
Pour les futurs qui auront des soucis de configuration, voici ce qu'il faut faire pour récupérer des syslogs :

- Sur le serveur Splunk, il faut écouter le port UDP 514 en allant dans Manager -> Data Inputs -> et cliquez sur Add New devant UDP. Le minimum est de remplir le type de la source (Manual, syslog ou bien From list, syslog).

- Sur l'équipement (switch dans mon cas) vous faites la commande : logging @IPserveur et c'est TOUT.

Vérifiez bien que votre pare-feu ne bloque pas et ça devrait marcher. Voila voila

Rayke · Answer

J'ai fait une analyse sur Wireshark qui me montre que les logs arrivent bien jusqu'à mon serveur Splunk, le blocage vient donc de ce dernier, peut être une histoire de filtre ?

Garry · Answer

Bonjour,

Comment avez vous fait pour récupérer les logs sur Splunk ?
Je suis complètement bloquer ... :/

Récupérer des syslogs sur Splunk

3 réponses

Discussions similaires