Integración de OpManager con Splunk para el análisis centralizado de registros

OpManager se integra con Splunk para reenviar eventos críticos de red, auditorías, registros de acceso y alertas en tiempo real, los cuales se envían como syslogs. Esta integración permite que OpManager funcione como un punto centralizado de monitoreo, lo que habilita a Splunk para recopilar, analizar y correlacionar los datos de eventos con el fin de detectar amenazas, optimizar la respuesta a incidentes y mejorar la fiabilidad general de la red.

Configurar la integración OpManager - Splunk

Pasos para configurar la integración de Splunk en OpManager

  1. Vaya a SettingsGeneral SettingsIntegrationsSplunk.
  2. Haga clic en Configure.
  3. Ingrese el Hostname/IP Address y el Port Number.

Splunk

  1. Nota: Se utiliza RFC-5424 para el reenvío de los registros.
  2. Marque la casilla Send Access Logs para reenviar los archivos de registro de acceso a Splunk.
  3. Seleccione los módulos de auditoría requeridos para reenviar sus registros a Splunk.
  4. Acepte la política de privacidad de Splunk y haga clic en Save para completar la integración con OpManager.

Nota:

  • Se utiliza el protocolo UDP/syslog para el envío de los registros.
  • Asegúrese de que Splunk esté configurado para escuchar en el puerto UDP especificado.

Configurar perfil de notificación

Puede configurar un perfil de notificación para reenviar automáticamente las alarmas a la plataforma Splunk, con base en criterios definidos.

Siga estos pasos para configurar:

  • Vaya a Settings -> Notifications -> Notification profiles
  • Haga clic en Add en la esquina superior derecha para agregar un nuevo perfil de notificación y seleccione SIEM -> Splunk.

Integrating OpManager with Spunk

  • Proporcione los datos para los parámetros requeridos, como Format, Severity, Facility, Description y variables.
  • Si habilita la opción Structured message, proporcione los datos requeridos como pares de clave-valor.
  • Puede usar la opción Test Action para enviar un mensaje syslog de prueba al host y puerto configurados y verificar la configuración.

Integrating OpManager with Splunk

Configurar Plantillas de notificación

Puede crear plantillas de notificación en OpManager para definir cómo se envían las alertas cuando se generan alarmas y usarlas en reglas de correlación de alarmas para recibir notificaciones cuando ocurren patrones específicos de eventos.

  • Vaya a Settings -> Notifications -> Notification templates
  • Haga clic en Add, vaya a SIEM y seleccione Splunk para agregar una plantilla de notificación.

Integrating OpManager with Splunk

  • Ingrese los parámetros requeridos, incluidos Template Name, Format, Severity, Facility, Description y las Variables correspondientes.
  • Si habilita la opción Structured Message, asegúrese de proporcionar los pares de clave-valor requeridos.
  • Para verificar la plantilla, haga clic en Test Action.
  • Haga clic en Save.
Nota: Consulte la página de dynamic variables para obtener más información sobre las etiquetas reemplazables utilizadas en los detalles de las alarmas.