1. Explotació de la informació
operacional, fem màgia?

2. Índex
1. Intel·ligència empresarial
2. Espeleologia de les dades2. Espeleologia de les dades
3. Fem màgia?
4. Cas d’èxit

3. 1958 Hans Peter Luhn (investigador IBM): “La capacitat de
comprendre les interrelacions dels fets presentats de forma que
ens orienti a l'acció d'un fi desitjat"
Evolució intel·ligència empresarial
1998 Howard Dresnerd (futur analista de Garnter): "Intel·ligència
de negocis com a terme general per descriure els conceptes i
mètodes per a millorar la presa de decisions empresarials
mitjançant l'ús en sistemes de suport"

4. Intel·ligència empresarial

5. Linux tools
awk & sed & grep & cut...

6. Índex
1. Intel·ligència empresarial
2. Espeleologia de les dades
3. Fem màgia?
4.Cas d’èxit amb Comunicacions

7. Splunk
spelunking o espeleologia de dades

8. Fonts d’informació

9. Com és diferència Splunk

10. Demostració
Fem màgia?

11. Aplicacions de Splunk

12. Anàlisi de fonts externes
https://www.tcconsole.com/login.html
https://dl.shadowserver.org/reports/index.php

13. Fem màgia a Comunicacions
Cas d’èxit

14. Com es gestionaven els logs abans d’Splunk?
Un únic fitxer de mida molt gran
Dificultat de gestió de les dades
Greps+tails...
Descentralització de les dades
Amb un bon filtre és fàcil de gestionar els logs en temps real
• tail -f /var/log/messages | grep -v -E '%BGP-3-
MAXPFXEXCEED|%VOIPAAA-5-VOIP|%SEC-6-IPACCESS|%PIM-6-
INVALID_RP_JOIN|%PORT_SECURITY-2-PSECURE_VIOLATION:|%IP-
TCP-3-BADAUTH|%CDP-4-DUPLEX_MISMATCH:'

15. Què hem aconseguit?
Centralització en una mateixa plataforma
Agilitat en les cerques
Estadístiques
• WIFI-A• WIFI-A
– Connexions mensuals totals
– Connexions totals per servidor radius
• WIFI-B
– Connexions mensuals totals
– Connexions totals per usuari

16. Procés de configuració client
$ModLoad imfile
$InputFileName /var/log/radiuscesca/intents.log
$InputFileTag WIFI-A
$InputFileStateFile *$InputFileStateFile *
$InputFilePollingInterval 10 seconds
$InputFileName /var/log/radiusanella/auth.log
$InputFileTag WIFI-A

17. Procés de configuració client
$InputFileStateFile *
*.* @172.25.22.10:514
/opt/splunk/etc/system/local/inputs.conf
– [udp://172.25.8.10:514] # quermany-host.loc– [udp://172.25.8.10:514] # quermany-host.loc
disabled = false
host = 172.25.8.10
sourcetype = syslog
connection_host = dns

18. Conceptes bàsics Splunk
Event: Entrada única de dades
Source/sourcetype: Nom del arxiu d’un event en particular
Host: Nom del dispositiu
Index :Classificació dels eventsIndex :Classificació dels events
Fields: Camps dels events
Tags: Àlies dels fields
Eventtypes: Cerques referenciades per classificar els events

19. Conceptes bàsics Splunk
Reports: On s’emmagatzemen les cerques
Dashboards: Panell de control on podem emmagatzemar els reports
Apps: Software per aconseguir més funcionalitats al Splunk

20. Estadístiques Splunk
host=“host-a" process=“wifi-a" eventtype="Radius-OK y sense test" |
dedup _time | rex "(?i)..*? (?P<FIELDNAME>w+@w+.w+)(?= )" |
top 5 FIELDNAME
Radius-OK y sense test : "OK" AND NOT "test" AND NOT
"redis_monitor@domain.loc" AND NOT "prova"

21. Estadístiques Splunk
host="grafit.xgm.cesca.cat" process="eduroam" eventtype="Eduroam"
| rex "(?i)^[^(]*((?P<FIELDNAME>[^)]+)" | top 10 FIELDNAME
WIFI : "ACCEPTAT" AND NOT "test" AND NOT
"redis_monitor@domain.loc" AND NOT "prova"

22. “Logs can run, but they
Lliçó
can't hide”

23. Gràcies per la vostra atenció!
ifarre@cesca.cat
mperez@cesca.cat