Splunk App

Bitwarden Splunk App 从 Bitwarden 公共 API 获取事件日志数据，并将其提供给 Splunk。

要求

• Docker。如果您使用的是 Apple Silicon Mac，请启用 Docker Desktop -> Settings -> General -> Use Rosetta for x86_64/amd64 emulation on Apple Silicon

• Python 3.7 - 3.10

• • 还要使用 poetry self add poetry-plugin-export 安装 Poetry 导出插件

• libmagic（仅限 macOS），可通过 homebrew 安装：brew install libmagic

• Bitwarden 团队或企业组织

• 如果使用本地开发服务器 - 确保事件和 EventsProcessor 项目正在运行，并且功能正常

设置和配置

配置您的环境

1. 克隆 Github 存储库：

   复制

   git clone https://github.com/bitwarden/splunk.git

2. 导航到存储库的根目录：

   复制

   cd splunk

3. 告诉 poetry 要使用的 Python 版本：

   复制

   poetry env use <executable>

   其中 <executable> 是 Python 的可执行文件。如果它在您的 PATH 变量中，则无需指定完整路径。例如 poetry env use python3.9。

4. 安装依赖：

   复制

   poetry install --with dev

1. 运行 Splunk Enterprise：

   复制

   docker compose -f dev/docker-compose.yml up -d

请注意这将设置管理员密码为 password。仅限开发使用。

部署 App

1. 打包 App：

   复制

   ./package.sh

   这将生成一个已打包的 Splunk App 到 output/bitwarden_event_logs.tar.gz 。

2. 将 App 部署到 Splunk：

   复制

   ./deploy.sh

   这将重新启动 Splunk，脚本完成后可能需要几秒钟才能再次可用。

3. （可选）检查日志以查找错误或用于后续调试：

   复制

   docker exec -u splunk -it splunk tail -f /opt/splunk/var/log/splunk/bitwarden_event_logs.log

在 Splunk 中配置 App

2. 使用用户名 admin 和密码 password 登录。

3. 点击 Apps -> Bitwarden Event Logs。

您现在应该可以在 Apps -> Bitwarden Event Logs -> Dashboards 中看到您的组织事件。如果事件日志没有出现，请检查 Splunk 日志（见上文）。