Hi,
ich krame diesen Thread hier mal wieder raus. In unserem Unternehmen nutzen wir auch Splunk, persönlich habe ich mit dem Bereich allerdings keine Berührungspunkte. Dennoch möchte ich es gern bei mir zu Hause einsetzen und verstehen wie es funktioniert.
Mein Problem ist nun, wo fange ich an. Ich habe hier einen Debian Server mit Docker und würde es gern als Container einrichten.
Momentan nutze ich einen syslog-ng Docker Container und habe meine Unifi Network Application damit verbunden. Das funktioniert so weit auch super, allerdings fehlt mir die grafische Aufbereitung. Habe keine Lust mich da ständig durchzu’grep’en. Außerdem möchte ich gern verstehen, welche Auswirkungen Firmware Updates in meinem Netzwerk verursachen.
Nachdem ich folgenden Beitrag im Firmware Release Thread UAP 6.0.14 gesehen habe, ist mir erneut bewusst geworden, dass ich das haben will:
https://community.ui.com/releases/UAP-Firmware-6-0-14/1e6963e9-1ae5-427d-bfc1-5bb82d2457f2#comment/16cb8334-1a8a-4370-bb92-75a712097b8c
In einem späteren Beitrag hat er dann nochmal geschrieben, dass er Splunk Enterprise (free version) einsetzt.
Mittlerweile habe ich herausgefunden, dass es eine Community Version "Splunk Connect for Syslog (SC4S)" mit syslog-ng als Basis gibt.
Wenn ich den folgenden Artikel nun richtig verstehe, ist das allerdings nur ein Connector, der dann die Daten per "Splunk HTTP event Collector (HEC)" an Splunk weiterleitet:
Splunk Connect for Syslog
Demnach brächte ich also zwei Docker Container:
- https://hub.docker.com/r/splunk/splunk
- https://hub.docker.com/r/splunk/scs
Bei dem 1. Container handelt es sich um Splunk Enterprise. Bei der freien Version kann man anscheinend 5GB/Tag loggen. Das sollte für meine privaten Bedürfnisse ausreichen. Aber wie läuft das mit Docker bzw. Cloud? Werden meine Daten automatisch in die Cloud geschoben oder ist das Cloud Logging nur eine Alternative zu lokalem Logging? Will meine syslogs eigentlich nicht in die Cloud schieben.
Bei dem 2. Container bin ich mit nicht sicher, ob das überhaupt der richtige ist.
Andere Leute wiederum setzen statt SC4S lieber Cribl ein. Damit wird einem wohl eine ganze Menge Arbeit abgenommen, da man die syslog-ng Filter nicht mehr von Hand schreiben muss:
Docker Hub
Wenn ich es zum Laufen bekomme, erstelle ich dafür gern einen Wiki Beitrag.
Ohne eure Unterstützung wird das aber gefühlt nichts. Wie habt ihr das eingerichtet?
Viele Grüße Hoppel