freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SIEM之基于Splunk的日志监控
SIEM之基于Splunk的日志监控
蚁景科技 2021-08-31 17:03:27 143862
所属地 湖南省

0x0 概述

Splunk是什么?

Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。

Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。

image-20210830105101797

Splunk功能概述

数据获取:Splunk支持各种格式(如XML、JSON)和非结构化机器数据的获取。

数据索引:Splunk会自动索引从各方获取的数据,以便在各种条件下进行搜索

数据搜索:Splunk中的搜索包括在仪表板上创建指标或索引的模式。

Dashboards:以透视表、图表、报告等形式展示搜索结果

告警:用于在分析数据中发现的某些异常活动时触发邮件或其他方式的告警推送。

Splunk 的三大组件:

Splunk 转发器:用于收集日志的组件,将日志数据转发给Splunk索引器进行处理和存储。

Splunk 索引器:用来索引和存储转发器中的数据,将传入的数据转换为事件,并将其存储在索引中,以便高效地执行搜索操作。

Splunk 搜索头:用于与Splunk交互的组件。为用户提供了一个图形用户界面来执行各种操作。用户可以通过输入搜索词来搜索和查询索引器中存储的数据。

0x1 Splunk的安装配置(以Ubuntu为例)

配置要求:

Ubuntu 20.04 以上系统版本

4G或以上内存

2核或以上CPU

Splunk企业版下载安装

Splunk企业版提供试用安装版,我们可以去官网下载:

https://www.splunk.com/zh-hans_cn/software/splunk-enterprise.html

创建一个帐号并选择相应的版本进行下载:

image-20210830123828426

这里我们选择.deb版本。

然后在系统上安装:

root@osboxes:/tmp# dpkg -i splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb 
Selecting previously unselected package splunk.
(Reading database ... 148598 files and directories currently installed.)
Preparing to unpack splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb ...
Unpacking splunk (8.2.2) ...

安装完成后,默认位于/opt/splunk/目录:

image-20210830131514578

初始化Splunk设置

root@osboxes:/tmp# cd /opt/splunk/
root@osboxes:/opt/splunk# ./bin/splunk enable boot-start
SPLUNK GENERAL TERMS

按空格浏览软件协议,按y键同意协议内容。

image-20210830131747712

然后创建Splunk管理员用户和密码:

image-20210830131942202

启动splunk服务:

root@osboxes:/opt/splunk# systemctl start splunk
root@osboxes:/opt/splunk#

没有报错,说明启动成功。现在可以在浏览器中使用http://serverip:8000访问SplunkWeb UI

image-20210830132358936

输入设置的用户名和密码登录到Web UI页面:

image-20210830132752753

至此,Splunk安装已经完成,下一步就是添加数据

0x3 Splunk数据的获取

点击Web UI中的“添加数据”,进入数据添加引导流程,Splunk提供多种添加数据的方式:

image-20210830133036436

这里我们要添加主机的日志文件进行监控,所以选择“监视-此Splunk平台实例上的文件或端口”:

image-20210830133202669

选择“文件和目录”,点击右侧的浏览

image-20210830133240752

选择日志目录,然后确定:

image-20210830133354045

然后点击下一步:

image-20210830133440025

输入的一些设置,可以根据需求进行设置,如果没有问题,就可以点“检查”:

image-20210830133620012

image-20210830133655201

提示成功,点“开始搜索”:

image-20210830133723322

现在已经成功将数据添加到Splunk进行索引,可以根据需求搜索和监控日志文件了。

image-20210830133900064

0x4 Splunk添加Windows日志监控

首先从Splunk上下载通用转发器:

https://www.splunk.com/zh-hans_cn/download.html

image-20210830135348226

根据需求进行下载:

image-20210830140229836

Windows主机上安装转发器:

image-20210830140317076

image-20210830140506116

根据需求选择要采集的数据:

image-20210830140540076

根据提示填写必要信息,然后安装

image-20210830140721154

image-20210830140900163

回到SplunkWeb UI界面,点击右侧的“设置”-->“转发和接收”:

image-20210830141155168

新增一个接收设置:

image-20210830141220682

配置接收端口,然后保存:

image-20210830141247492

回到搜索中,就可以搜索Windows的日志了:

image-20210830141603076

0x5 Splunk添加仪表板

在搜索结果的右侧点击“另存为”,可以创建仪表板或者报表、告警。

image-20210830141815593

根据需求填写信息和选项,然后点保存:

image-20210830141950918

这样一个仪表板就创建好了:

image-20210830142011065

image-20210830142049714

更多搜索示例可以参考官方文档:https://docs.splunk.com/Documentation/SCS/current/SearchReference/SearchCommandExamples

更多仪表板的创建和说明可以参考官方文档:https://docs.splunk.com/Documentation/Splunk/8.2.2/Viz/BuildandeditdashboardswithSimplifiedXML#Dashboard_examples

https://www.hetianlab.com/&pk_campaign=freebuf-wemedia

# 渗透测试 # web安全 # 系统安全 # 数据安全 # 网络安全技术
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 蚁景科技 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
由ctfshow总结一些文件包含的姿势
由ctfshow总结一些文件包含的姿势

Web安全

一是PHP伪协议并未透彻了解,再就是文件包含能结合的东西有很多。

superd1ng

192408围观  · 8喜欢 2021-09-01

社会工程学:美色你顶得住吗?
社会工程学:美色你顶得住吗?

基础安全

本文主要分享一次实战攻防中几个有趣的钓鱼场景。

绿盟科技

394706围观  · 2收藏  · 30喜欢 2021-09-01

SUMAP联动MSF 原创
SUMAP联动MSF

资讯

本次测试主要围绕sumap sdk 3.0的 MSF 联动功能。

纯良地瓜

73813围观  · 1收藏 2021-09-01

渗透测试之基础篇:Microsoft SQL Server 手注之 db_owner 权限处理 原创
渗透测试之基础篇:Microsoft SQL Server 手注之 db_owner 权限处理

Web安全

首先我配置了一下权限:(添加了一个新用户 saul,映射了 test数据库,只有 db_owner,public权限)加了一个单引。

渗透攻击红队

177193围观 2021-09-01

浅谈网络安全领域售前从业人员技术能力图谱(上) 原创
浅谈网络安全领域售前从业人员技术能力图谱(上)

其他

在市场竞争日益惨烈的今天,如何通过定制化的安全解决方案在行业细分领域占有一席之地,是我们当前需要迫切关注和重点投入的方向之一。

安全圈战士

608946围观  · 19收藏  · 74喜欢 2025-02-23

蚁景科技 LV.9
湖南蚁景科技有限公司主要从事在线教育平台技术研究及网络培训产品研发,专注网络空间安全实用型人才培养,全面提升用户动手实践能力。
  • 907 文章数
  • 676 关注者
蚁景科技荣膺双项殊荣,引领网络安全教育新潮流
2025-03-28
FlowiseAI 任意文件写入漏洞(CVE-2025–26319)
2025-03-27
路由器安全研究:D-Link DIR-823G v1.02 B05 复现与利用思路
2025-03-18
文章目录
0x0 概述
  • Splunk是什么?
  • Splunk功能概述
0x1 Splunk的安装配置(以Ubuntu为例)
  • 配置要求:
  • Splunk企业版下载安装
0x3 Splunk数据的获取
    0x4 Splunk添加Windows日志监控
      0x5 Splunk添加仪表板