Protegendo o acesso ao Splunk® free

Protegendo o acesso ao Splunk® free

Tenho usado há alguns anos plataforma Splunk® Enterprise para agregar, correlacionar e visualizar os logs de aplicações em meus servidores virtuais, contudo, a licença free possui algumas limitações importantes que no meu contexto, as principais são o fato de não suportar autenticação e só existir o perfil administrador.

Com estas limitações todas as funcionalidades como busca, dashboards, configurações e logs ficam acessíveis para qualquer pessoa que acesse a console web. Então para prevenir esse problema você poderia usar um túnel SSH para conectar o seu PC diretamente ao servidor que estaria configurado para aceitar apenas conexões locais.

Aqui parto do pressuposto que você já possui o Splunk instalado e tem conhecimentos básicos sobre comandos de terminal no Linux.

Edite o arquivo web.conf localizado em $SPLUNK_HOME/etc/system/default/ modificando a respectiva linha como se segue:

server.socket_host = localhost

Salve as mudança e reinicie o serviço SplunkWeb:

$SPLUNK_HOME/bin/splunk restart splunkweb

Crie um túnel SSH entre seu computador e servidor remoto:

ssh user@your-splunk-server.com -L 1080:localhost:8000

Abra seu navegador no endereço: localhost:1080/en-US/app/launcher/home

Pronto! Você verá que a interface gráfica web será exibida mesmo sem estar exposta a Internet. 👌