Integração do OpManager com o Splunk para análise centralizada de logs

O OpManager se integra ao Splunk para encaminhar, em tempo real, eventos críticos de rede, auditorias, logs de acesso e alertas, que são enviados como syslogs. Essa integração permite que o OpManager atue como um ponto centralizado de monitoração, possibilitando que o Splunk colete, analise e correlacione os dados de eventos para detectar ameaças, otimizar a resposta a incidentes e aumentar a confiabilidade geral da rede.

Configurar a integração OpManager - Splunk

• Etapas para configurar a integração do Splunk no OpManager
• Configurar Perfis de Notificação
• Configurar Modelos de Notificação

Etapas para configurar a integração do Splunk no OpManager

1. Acesse Settings → General Settings → Integrations → Splunk.
2. Clique em Configure.
3. Digite o Hostname/IP Address e o Port Number.

1. Observação: O padrão RFC-5424 é usado para o encaminhamento dos logs.
2. Marque a caixa de seleção Send Access Logs para encaminhar arquivos de log de acesso para o Splunk.
3. Selecione os módulos de auditoria necessários para encaminhar seus logs ao Splunk.
4. Aceite a política de privacidade do Splunk e clique em Save para concluir a integração com o OpManager.

Configurando o perfil de Notificação

Você pode configurar um perfil de notificação para encaminhar alarmes automaticamente para a plataforma Splunk, com base em critérios definidos.

Siga as etapas para configurar:

• Acesse Settings -> Notifications -> Notification profiles
• Clique em Add no canto superior direito para adicionar um novo perfil de notificação e selecione SIEM -> Splunk.

• Forneça valores para os parâmetros necessários, como Format, Severity, Facility, Description e variáveis.
• Se você habilitar a opção Structured message, forneça os valores necessários no formato de pares chave-valor.
• Você pode usar a opção Test Action para enviar uma mensagem syslog de teste para o host e porta configurados, a fim de verificar a configuração.

• Clique em Next para selecionar os critérios, o dispositivo e a janela de tempo de configuração.
• Clique em Save

Configurando Modelos de Notificação

Você pode criar modelos de notificação no OpManager para definir como os alertas são enviados quando os alarmes são acionados e usá-los em regras de correlação de alarmes para ser notificado quando ocorrerem padrões específicos de eventos.

• Acesse Settings -> Notifications -> Notification templates
• Clique em Add, navegue até SIEM e selecione Splunk para adicionar um modelo de notificação.

• Insira os parâmetros necessários, incluindo Template Name, Format, Severity, Facility, Description e as Variáveis relevantes.
• Se você habilitar a opção Structured Message, certifique-se de fornecer as entradas necessárias em pares chave-valor.
• Para verificar o modelo, clique em Test Action.
• Clique em Save.