Mình sẽ thử xây dựng một homelab của mình để làm nơi vọc vạch

Mình từng có ý định xây dựng cả một hệ thống lab ảo mô phỏng mạng doanh nghiệp nhưng do tài nguyên trên laptop của mình có hạn chế nên kế hoạch đó cứ chững lại mãi (nếu có tiền để nâng cấp SSD thì chắc mình cũng cố làm cho xong đấy :>)

Với Homelab lần này thì mình sẽ tận dụng các máy ảo đang phục vụ cho bài tập trên lớp + thêm một vài máy ảo bổ sung như Splunk và các dịch vụ khác nữa.

Sơ qua về cấu hình máy của mình: i5-13500HX, RTX4050, 16GB RAM và còn khoảng 50-70GB phục vụ cho lab này

Cài đặt

Ubuntu Server 22.04 và Splunk

  • Cài máy ảo Ubuntu Server 22.04 như mặc định, cấu hình máy ảo :
    • RAM 4GB
    • Bộ nhớ: 30GB
    • Có cài OpenSSH

Cài xong thì SSH từ máy thật vào máy ảo vừa cài, dùng cho tiện Chọn Connect to SSH, điền username là username đang dùng trên máy ảo (của mình ở đây là x11t200z)

Di chuyển đến thư mục /opt Chuyển sang root

Giờ đến giai đoạn tải splunk, truy cập trang chủ download

Dán wget link terminal và chờ đợi tải xong

Tải xong thì giải nén: tar xvzf splunk.....tgz

Giải nén xong sẽ có thư mục splunk ở ngay đó

Chạy và thực hiện điền các thông tin đăng nhập: /opt/splunk/bin/splunk start --accept-license

Chạy Splunk thành công, thực hiện tìm kiếm địa chỉ IP của máy Ubuntu Server để vào dashboard của Splunk trên trình duyệt của máy thật

Đăng nhập với thông tin lúc nãy đã điền:

Mặc định thì Splunk không tự khởi động khi khởi động máy ảo nên chạy lệnh sau để cài đặt cho Splunk tự khởi động: /opt/splunk/bin/splunk enable boot-start

Khởi chạy lại máy ảo, kiểm tra thử: /opt/splunk/bin/splunk status

Splunk đã khởi chạy cùng hệ thống như mong muốn

Tối ưu tài nguyên 1 tí :> ổ cứng báo đỏ rồi, bây giờ mình sẽ xóa gói cài đặt Splunk đã tải:

Vậy là xong một máy, tiếp đến là máy trạm Windows 10 Enterprise

Windows 10 x64

Cài thì bình thường thôi, mọi người tải ISO trên trang chủ của Microsoft nhé:

Cấu hình máy ảo này thì mình để như này:

Tiến hành cài đặt, lựa chọn bản Pro N

Tiếp tục

Chọn join domain

Tiếp đến điền thông tin theo đúng quy trình

Xong xuôi hết thì cài VMware tool

Cài xong thì cài tiếp Splunk Universal Forwarders. Trước khi cài thì qua bên dashboard của Splunk để cấu hình cổng nhận

Thêm cổng 9997 (vì nó là mặc định) Kết quả Tiếp đến là quay trở lại máy windows 10 để tải và cài Splunk Universal Forwarders Đăng nhập tài khoản Splunk và tìm đến trang download của Splunk Universal Forwarders (sau này mình sẽ viết tắt là UF)

⚠️ TRƯỚC KHI CÀI ĐẶT UF, CÓ MỘT THỨ…. THỬ NÊN ĐẢM BẢO LÀ: BÊN SPLUNK DASHBOARD KHÔNG CÒN THÔNG BÁO “VÀNG” NÀO NỮA

Mình đã gặp vấn đề không thể nhận diện được Forwarder mặc dù đã cài đặt giống hướng dẫn và thực hiện các cấu hình rất hợp lý rồi nhưng không hiểu sao vẫn không thể kết nối được. Sau một hồi vòng vo thì mình quay lại sửa chỗ các thông báo này xem và có vẻ nó có hiệu quả. Có lẽ mỗi người sẽ có một thông báo khác nhau, nhưng chắc hầu hết sẽ là thông báo 5000MB gì đó, mình cũng bị thế và mình đã làm theo bài viết này: https://medium.com/@sweetdee360/making-my-way-through-splunk-bff7c1ccb1c1

Sau khi fix xong hết, mình tiến hành cài đặt UF

Điền địa chỉ của máy Ubuntu cài Splunk vào Deployment Server

Hoàn tất cài đặt Kiểm tra kết nối với Powershell Test-NetConnection -Computername Dia_chi_ip_cua_Splunk -port 9997

TcpTestSucceeded : True là oke rồi

Tiếp đến kiểm tra xem trên Web Dashboard đã thấy chưa, truy cập mục sau:

Đã thấy

Mình đến được bước này sau nhiều lần trước đó thực hiện các bước y hệt như trên mà không thấy forwarder hiện ra ở đây. Nếu có ai cũng gặp tình trạng tương tự, làm y hệt mà không thấy có gì hiện ra ở đây thì có thể thử deploy luôn một deployment server trên máy Ubuntu đang cài Splunk xem có thay đổi được gì ko nhé, mình không biết điều đó có căn cứ xác thực nào không hay có đúng bản chất không nhưng sau vô số lần thử các cách khác nhau thì bằng một cách nào đấy mình thực hiện deploy và sau đó lại nhận được kết quả như mong muốn trên hình là forwarder trên máy windows đã hiện ra, lệnh deploy như sau: Trên máy Ubuntu: cd /opt/splunk/bin ./splunk set deploy-poll Dia_chi_ip_splunk:8089 Deploy xong thì restart lại: ./splunk restart Mong là các bạn có thể sửa được

Tiếp đến là thực hiện Add Data

Cuộn xuống 1 tí rồi chọn Forwarder

Nhấn chọn máy Forwarder và điền tên

Nhấn next chuyển qua bước tiếp theo để cho Splunk tạo Server Class rồi quay lại luôn và chuyển sang chọn Existing, chọn Server Class vừa tạo

Chọn Local Event Logs -> add all -> Next >

Điền tên và Save luôn và chuyển qua bước tiếp theo là Review Xác nhận thông tin và submit

Kiểm tra Indexes

Lăn xuống chút, đã thấy Indexe vừa tạo đây rồi

Có thể là bạn sẽ chưa thấy có dữ liệu gì, hãy thử trở lại Windows 10 và thực hiện một vài thao tác.

Thử tìm kiếm gì đó

Cơ bản là xong công việc với 1 server Splunk và 1 máy Windows 10 Client. Phù!!!! Viết ra thì chỉ có thế thôi nhưng mình gặp mấy đoạn stuck vcd mà không biết sai ở đâu, NHẤT là cài UF mà bên Splunk server cứ không detect được, điên tiết :> các đoạn khác thì may mà có trắc trở nhưng xử lý vẫn đc. Đoạn trên là mình thực hiện theo tổng hợp hướng dẫn từ Letsdefend, các bài viết trên mạng và tìm hiểu cá nhân. Không hẳn là một bài hướng dẫn đâu, chỉ là ghi lại những gì mình đã làm để sau mình có làm lại thì mình còn biết xử lý :»>