Explotació de la informació

operacional, fem màgia?

Índex

1. Intel·ligència empresarial

2. Espeleologia de les dades 2. Espeleologia de les dades

3. Fem màgia?

4. Cas d’èxit

1958 Hans Peter Luhn (investigador IBM): “La capacitat de comprendre les interrelacions dels fets presentats de forma que

ens orienti a l'acció d'un fi desitjat"

Evolució intel·ligència empresarial

1998 Howard Dresnerd (futur analista de Garnter): "Intel·ligència de negocis com a terme general per descriure els conceptes i

mètodes per a millorar la presa de decisions empresarials mitjançant l'ús en sistemes de suport"

Intel·ligència empresarial

Linux tools

awk & sed & grep & cut...

Índex

1. Intel·ligència empresarial

2. Espeleologia de les dades

3. Fem màgia?

4.Cas d’èxit amb Comunicacions

Splunk

spelunking o espeleologia de dades

Fonts d’informació

Com és diferència Splunk

Demostració

Fem màgia?

Aplicacions de Splunk

Anàlisi de fonts externes

https://www.tcconsole.com/login.html

https://dl.shadowserver.org/reports/index.php

Fem màgia a Comunicacions

Cas d’èxit

Com es gestionaven els logs abans d’Splunk?

� Un únic fitxer de mida molt gran

� Dificultat de gestió de les dades

� Greps+tails...

� Descentralització de les dades

� Amb un bon filtre és fàcil de gestionar els logs en temps real• tail -f /var/log/messages | grep -v -E '%BGP-3-

MAXPFXEXCEED|%VOIPAAA-5-VOIP|%SEC-6-IPACCESS|%PIM-6-INVALID_RP_JOIN|%PORT_SECURITY-2-PSECURE_VIOLATION:|%IP-TCP-3-BADAUTH|%CDP-4-DUPLEX_MISMATCH:'

Què hem aconseguit?

� Centralització en una mateixa plataforma

� Agilitat en les cerques

� Estadístiques

• WIFI-A• WIFI-A– Connexions mensuals totals

– Connexions totals per servidor radius

• WIFI-B– Connexions mensuals totals

– Connexions totals per usuari

Procés de configuració client

� $ModLoad imfile

� $InputFileName /var/log/radiuscesca/intents.log

� $InputFileTag WIFI-A

� $InputFileStateFile *� $InputFileStateFile *

� $InputFilePollingInterval 10 seconds

� $InputFileName /var/log/radiusanella/auth.log

� $InputFileTag WIFI-A

Procés de configuració client

� $InputFileStateFile *

� *.* @172.25.22.10:514

� /opt/splunk/etc/system/local/inputs.conf

– [udp://172.25.8.10:514] # quermany-host.loc– [udp://172.25.8.10:514] # quermany-host.locdisabled = falsehost = 172.25.8.10sourcetype = syslogconnection_host = dns

Conceptes bàsics Splunk

� Event: Entrada única de dades

� Source/sourcetype: Nom del arxiu d’un event en particular

� Host: Nom del dispositiu

� Index :Classificació dels events� Index :Classificació dels events

� Fields: Camps dels events

� Tags: Àlies dels fields

� Eventtypes: Cerques referenciades per classificar els events

Conceptes bàsics Splunk

� Reports: On s’emmagatzemen les cerques

� Dashboards: Panell de control on podem emmagatzemar els reports

� Apps: Software per aconseguir més funcionalitats al Splunk

Estadístiques Splunk

� host=“host-a" process=“wifi-a" eventtype="Radius-OK y sense test" | dedup _time | rex "(?i)\\..*? (?P<FIELDNAME>\\w+@\\w+\\.\\w+)(?= )" | top 5 FIELDNAME

� Radius-OK y sense test : "OK" AND NOT "test" AND NOT "redis_monitor@domain.loc" AND NOT "prova"

Estadístiques Splunk

� host="grafit.xgm.cesca.cat" process="eduroam" eventtype="Eduroam" | rex "(?i)^[^\\(]*\\((?P<FIELDNAME>[^\\)]+)" | top 10 FIELDNAME

� WIFI : "ACCEPTAT" AND NOT "test" AND NOT "redis_monitor@domain.loc" AND NOT "prova"

“Logs can run, but they

Lliçó

can't hide”

Gràcies per la vostra atenció!

ifarre@cesca.cat

mperez@cesca.cat