Día 6: Cerrando el bucle On-Prem. Introducción En el sexto día configuré el Universal Forwarder de Splunk en el servidor empresarial para consolidar el flujo de datos on premise. El objetivo fue recoger eventos críticos del sistema y enviarlos de forma segura al indexer de Splunk Enterprise, completando el bucle de monitorización local y preparando la plataforma para casos de uso avanzados como detección y respuesta.
Objetivo Configurar el Universal Forwarder del servidor empresarial para recopilar, procesar y reenviar datos al indexer o cluster de indexers designado, garantizando transmisión segura y fiable.
El cambio: De la nube al entorno on premise Crear un laboratorio autosuficiente Días anteriores envié datos desde un forwarder a una instancia en la nube. Hoy la misión fue enviar datos desde un forwarder a mi propio servidor on premise con Splunk Enterprise en Windows Server. Por qué Construir un laboratorio totalmente funcional sin depender de una prueba en la nube replica muchos entornos corporativos reales y facilita pruebas de ciberseguridad, integración y rendimiento.
Instalación del Universal Forwarder Durante la instalación en Windows Server se debe usar la dirección IP del servidor Enterprise en lugar de la URL de la instancia en la nube. Paso crítico Cuando el instalador solicita Receiving Indexer o Deployment Server introducir la IP del servidor Splunk Enterprise 192.168.1.50 y el puerto 9997 que se configuró en el día 5. Usar la misma IP para la configuración del servidor receptor porque el mismo enterprise recibirá los logs.
Configuración por CLI El apretón de manos manual Para configurar o cambiar ajustes tras la instalación abrir PowerShell como Administrador y navegar al bin del UF cd C:\Program Files\SplunkUniversalForwarder\bin Establecer el forward server hacia la instancia on premise .\splunk.exe add forward-server 192.168.1.50:9997
Por qué fracasan la mayoría de laboratorios on premise El problema Aunque todo esté correctamente configurado, el firewall de Windows del servidor Splunk Enterprise bloqueará por defecto las conexiones entrantes al puerto 9997. Este es el punto de fallo más habitual. La solución Crear una regla de entrada en el firewall de Windows para permitir tráfico TCP hacia el puerto 9997. Esto simula la configuración de grupos de seguridad y firewalls en entornos reales.
Configurar la regla de Windows Firewall En el servidor Splunk Enterprise abrir Windows Defender Firewall with Advanced Security Click Inbound Rules > New Rule... Seleccionar Rule Type Port y continuar Protocol and Ports Seleccionar TCP y especificar 9997 o el puerto elegido y continuar Seleccionar Allow the connection y continuar Profile Aplicar a Domain Private y Public para un entorno de laboratorio y continuar Dar un nombre claro por ejemplo Splunk - Receiving Port 9997 y finalizar.
Reiniciar y verificar Aplicar los cambios Reiniciar el servicio del Forwarder para aplicar las configuraciones y forzar una nueva conexión .\splunk.exe restart Comprobar el estado del Forwarder .\splunk.exe status Revisar los logs para ver el intento de conexión Get-Content C:\Program Files\SplunkUniversalForwarder\var\log\splunk\splunkd.log -Tail 20 Buscar mensajes tipo Connected to peer o mensajes de éxito similares.
Verificación y reflexión Tubo on premise completo Prueba definitiva Acceder a la interfaz web de Splunk Enterprise en localhost:8000 y ejecutar la búsqueda index=* | stats count by host Resultado exitoso Deberías ver el hostname de la máquina donde instalaste el forwarder apareciendo en los resultados. Meta cumplida Los datos fluyen desde el endpoint a través de la red hasta el servidor Splunk propio sin dependencia de la nube. Día 6 trató sobre redes e infraestructura; configurar firewalls y entender conectividad es tan importante como instalar software.
Sobre Q2BSTUDIO En Q2BSTUDIO somos expertos en desarrollo de software y aplicaciones a medida, especialistas en inteligencia artificial, ciberseguridad y soluciones cloud. Ofrecemos desarrollo de aplicaciones y software a medida que se integran con plataformas de monitorización y seguridad, así como servicios de pentesting y hardening para entornos on premise y cloud. Si necesitas una solución de software a medida para integrar agentes de telemetría, dashboards o pipelines de datos, consulta nuestra página de aplicaciones a medida y software a medida. Para proyectos que requieran arquitectura cloud y despliegue seguro en AWS o Azure visita nuestra sección de servicios cloud aws y azure.
Servicios destacados Implementamos soluciones de inteligencia artificial y ia para empresas integradas con flujos de datos y alertas en tiempo real, ofrecemos agentes IA para automatizar respuestas y pipelines de datos para Business Intelligence con Power BI. También proporcionamos servicios de ciberseguridad y pentesting para proteger infraestructuras críticas. Palabras clave que guían nuestro trabajo aplicaciones a medida software a medida inteligencia artificial ciberseguridad servicios cloud aws y azure servicios inteligencia de negocio ia para empresas agentes IA power bi.
Si tu objetivo es montar un laboratorio on premise para pruebas de detección, respuesta o integración de IA y BI en un entorno controlado, en Q2BSTUDIO te ayudamos a diseñar la arquitectura, configurar forwarders, reglas de red y paneles de control para que tus datos estén disponibles, seguros y listos para análisis.