Der Einsatz des Splunk Forwarder ist seit einigen Jahren sehr populär, um Log-Meldungen an ein zentrales System weiterzuleiten. Auch auf unserem Beispiel-AIX-System ist der Splunk-Forwarder aktiv. Für die Weiterleitung von Logs und Events wird standardmäßig der Ziel-Port 9997 verwendet. Der Forwarder kann remote administriert werden (optional), dazu wird standardmäßig der Port 8089 verwendet.

Schauen wir uns zuerst die Verbindung vom AIX Client-System mit Splunk Forwarder zum Splunk Indexer (standardmäßig TCP-Port 9997) an. In unserem Fall gibt es mehrere Splunk Indexer:

10.20.183.68 splunk01
10.20.183.69 splunk02
10.20.183.70 splunk03
10.20.183.71.splunk04

Diese lassen sich als 10.20.183.68 mit Netzmaske 255.255.255.253 zusammenfassen. Lassen sich die IP-Adressen nicht zusammenfassen, müssen mehrere Filter-Regeln definiert werden.

Die ausgehenden IP-Pakete sind schon über die allgemeine Filter-Regel für ausgehenden Verkehr erlaubt. Es müssen daher nur die eingehenden IP-Pakete von den Splunk Indexern mit Quell-Port 9997 erlaubt werden:

aix05 # genfilt -v 4 -a P -s 10.20.183.68 -m 255.255.255.253 -d 10.222.16.155 -o eq -p 9997 -w I -D "allow splunk forwarding"
Filter rule 14 for IPv4 has been added successfully.
aix05 # 

Wird die Möglichkeit verwendet den Splunk Forwarder Remote zu Administrieren, muss die Verbindung vom Splunk-Admin System zum AIX-System mit Splunk Forwarder erlaubt werden. Per Default wird der TCP-Port 8089 verwendet. Unser Admin Server hat die folgende IP:

10.20.183.112 splunkadmin

Die eingehenden Pakete können über die folgende Filter-Regel erlaubt werden:

aix05 # genfilt -v 4 -a P -s 10.20.183.112 -m 255.255.255.255 -d 10.222.16.155 -o eq -p 8089 -w I -D "allow splunk remote admin"
Filter rule 15 for IPv4 has been added successfully.
aix05 # 

Die Pakete in ausgehender Richtung sind über die allgemeine Filter-Regel für ausgehenden Verkehr schon erlaubt.