实战攻防
SIEM之基于Splunk的日志监控
2021-08-31 08:32

0x0 概述

Splunk是什么?

Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。

Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。

image-20210830105101797

Splunk功能概述

0x1 Splunk的安装配置(以Ubuntu为例)

配置要求:

Splunk企业版下载安装

Splunk企业版提供试用安装版,我们可以去官网下载:

https://www.splunk.com/zh-hans_cn/software/splunk-enterprise.html

创建一个帐号并选择相应的版本进行下载:

image-20210830123828426

这里我们选择.deb版本。

然后在系统上安装:

root@osboxes:/tmp# dpkg -i splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb 
Selecting previously unselected package splunk.
(Reading database ... 148598 files and directories currently installed.)
Preparing to unpack splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb ...
Unpacking splunk (8.2.2) ...

安装完成后,默认位于/opt/splunk/目录:

image-20210830131514578

初始化Splunk设置

root@osboxes:/tmp# cd /opt/splunk/
root@osboxes:/opt/splunk# ./bin/splunk enable boot-start
SPLUNK GENERAL TERMS

按空格浏览软件协议,按y键同意协议内容。

image-20210830131747712

然后创建Splunk管理员用户和密码:

image-20210830131942202

启动splunk服务:

root@osboxes:/opt/splunk# systemctl start splunk
root@osboxes:/opt/splunk#

没有报错,说明启动成功。现在可以在浏览器中使用http://serverip:8000访问SplunkWeb UI

image-20210830132358936

输入设置的用户名和密码登录到Web UI页面:

image-20210830132752753

至此,Splunk安装已经完成,下一步就是添加数据

0x3 Splunk数据的获取

点击Web UI中的“添加数据”,进入数据添加引导流程,Splunk提供多种添加数据的方式:

image-20210830133036436

这里我们要添加主机的日志文件进行监控,所以选择“监视-此Splunk平台实例上的文件或端口”:

image-20210830133202669

选择“文件和目录”,点击右侧的浏览

image-20210830133240752

选择日志目录,然后确定:

image-20210830133354045

然后点击下一步:

image-20210830133440025

输入的一些设置,可以根据需求进行设置,如果没有问题,就可以点“检查”:

image-20210830133620012

image-20210830133655201

提示成功,点“开始搜索”:

image-20210830133723322

现在已经成功将数据添加到Splunk进行索引,可以根据需求搜索和监控日志文件了。

image-20210830133900064

0x4 Splunk添加Windows日志监控

首先从Splunk上下载通用转发器:

https://www.splunk.com/zh-hans_cn/download.html

image-20210830135348226

根据需求进行下载:

image-20210830140229836

Windows主机上安装转发器:

image-20210830140317076

image-20210830140506116

根据需求选择要采集的数据:

image-20210830140540076

根据提示填写必要信息,然后安装

image-20210830140721154

image-20210830140900163

回到SplunkWeb UI界面,点击右侧的“设置”-->“转发和接收”:

image-20210830141155168

新增一个接收设置:

image-20210830141220682

配置接收端口,然后保存:

image-20210830141247492

回到搜索中,就可以搜索Windows的日志了:

image-20210830141603076

0x5 Splunk添加仪表板

在搜索结果的右侧点击“另存为”,可以创建仪表板或者报表、告警。

image-20210830141815593

根据需求填写信息和选项,然后点保存:

image-20210830141950918

这样一个仪表板就创建好了:

image-20210830142011065

image-20210830142049714

更多搜索示例可以参考官方文档:https://docs.splunk.com/Documentation/SCS/current/SearchReference/SearchCommandExamples


更多仪表板的创建和说明可以参考官方文档:https://docs.splunk.com/Documentation/Splunk/8.2.2/Viz/BuildandeditdashboardswithSimplifiedXML#Dashboard_examples


上一篇:SoapClient原生类在开发以及安全中利用
下一篇:cfi那些事(1)
版权所有 合天智汇信息技术有限公司 2013-2021 湘ICP备2024089852号-1
Copyright © 2013-2020 Heetian Corporation, All rights reserved
4006-123-731