SIEM之基於Splunk的日誌監控

原創 原創 2021-08-31 21:10

0x0 概述

Splunk是什麼?

Splunk是一個功能強大的機器數據分析平臺,包括機器數據的收集、索引、搜索、監控、可視化和告警等。另一方面來說,Splunk是一個時間序列索引器,因爲Splunk索引數據的時候,是基於數據時間戳把數據拆分成事件。

Splunk支持從任何IT設備和應用(服務器、路由交換、應用程序、數據庫等)收集日誌,支持對日誌進行高效搜索、索引和可視化。可應用於:IT運營、安全合規、商業分析等。

image-20210830105101797

Splunk功能概述

  • 數據獲取:Splunk支持各種格式(如XML、JSON)和非結構化機器數據的獲取。

  • 數據索引:Splunk會自動索引從各方獲取的數據,以便在各種條件下進行搜索

  • 數據搜索:Splunk 中的搜索包括在儀表板上創建指標或索引的模式。

  • Dashboards:以透視表、圖表、報告等形式展示搜索結果

  • 告警:用於在分析數據中發現的某些異常活動時觸發郵件或其他方式的告警推送。

  • Splunk 的三大組件:

    • Splunk 轉發器:用於收集日誌的組件,將日誌數據轉發給Splunk索引器進行處理和存儲。

    • Splunk 索引器:用來索引和存儲轉發器中的數據,將傳入的數據轉換爲事件,並將其存儲在索引中,以便高效地執行搜索操作。

    • Splunk 搜索頭:用於與Splunk交互的組件。爲用戶提供了一個圖形用戶界面來執行各種操作。用戶可以通過輸入搜索詞來搜索和查詢索引器中存儲的數據。

0x1 Splunk的安裝配置(以Ubuntu爲例)

配置要求:

  • Ubuntu 20.04 以上系統版本

  • 4G或以上內存

  • 2核或以上CPU

Splunk企業版下載安裝

Splunk企業版提供試用安裝版,我們可以去官網下載:

https://www.splunk.com/zh-hans_cn/software/splunk-enterprise.html

創建一個帳號並選擇相應的版本進行下載:

image-20210830123828426

這裏我們選擇.deb版本。

然後在系統上安裝:

root@osboxes:/tmp# dpkg -i splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb 
Selecting previously unselected package splunk.
(Reading database ... 148598 files and directories currently installed.)
Preparing to unpack splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb ...
Unpacking splunk (8.2.2) ...

安裝完成後,默認位於/opt/splunk/目錄:

image-20210830131514578

初始化Splunk設置

root@osboxes:/tmp# cd /opt/splunk/
root@osboxes:/opt/splunk# ./bin/splunk enable boot-start
SPLUNK GENERAL TERMS

按空格瀏覽軟件協議,按y鍵同意協議內容。

image-20210830131747712

然後創建Splunk管理員用戶和密碼:

image-20210830131942202

啓動splunk服務:

root@osboxes:/opt/splunk# systemctl start splunk
root@osboxes:/opt/splunk#

沒有報錯,說明啓動成功。現在可以在瀏覽器中使用http://serverip:8000訪問SplunkWeb UI

image-20210830132358936

輸入設置的用戶名和密碼登錄到Web UI頁面:

image-20210830132752753

至此,Splunk安裝已經完成,下一步就是添加數據

0x3 Splunk數據的獲取

點擊Web UI中的“添加數據”,進入數據添加引導流程,Splunk提供多種添加數據的方式:

image-20210830133036436

這裏我們要添加主機的日誌文件進行監控,所以選擇“監視-此Splunk平臺實例上的文件或端口”:

image-20210830133202669

選擇“文件和目錄”,點擊右側的瀏覽

image-20210830133240752

選擇日誌目錄,然後確定:

image-20210830133354045

然後點擊下一步:

image-20210830133440025

輸入的一些設置,可以根據需求進行設置,如果沒有問題,就可以點“檢查”:

image-20210830133620012

image-20210830133655201

提示成功,點“開始搜索”:

image-20210830133723322

現在已經成功將數據添加到Splunk進行索引,可以根據需求搜索和監控日誌文件了。

image-20210830133900064

0x4 Splunk添加Windows日誌監控

首先從Splunk上下載通用轉發器:

https://www.splunk.com/zh-hans_cn/download.html

image-20210830135348226

根據需求進行下載:

image-20210830140229836

Windows主機上安裝轉發器:

image-20210830140317076

image-20210830140506116

根據需求選擇要採集的數據:

image-20210830140540076

根據提示填寫必要信息,然後安裝

image-20210830140721154

image-20210830140900163

回到SplunkWeb UI界面,點擊右側的“設置”-->“轉發和接收”:

image-20210830141155168

新增一個接收設置:

image-20210830141220682

配置接收端口,然後保存:

image-20210830141247492

回到搜索中,就可以搜索Windows的日誌了:

image-20210830141603076

0x5 Splunk添加儀表板

在搜索結果的右側點擊“另存爲”,可以創建儀表板或者報表、告警。

image-20210830141815593

根據需求填寫信息和選項,然後點保存:

image-20210830141950918

這樣一個儀表板就創建好了:

image-20210830142011065

image-20210830142049714

更多搜索示例可以參考官方文檔:https://docs.splunk.com/Documentation/SCS/current/SearchReference/SearchCommandExamples

更多儀表板的創建和說明可以參考官方文檔:https://docs.splunk.com/Documentation/Splunk/8.2.2/Viz/BuildandeditdashboardswithSimplifiedXML#Dashboard_examples

 

https://www.hetianlab.com/&pk_campaign=kaiyuan-wemedia

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Linux下製作Nginx綠色免安裝包

前言 linux下安裝nginx比較繁瑣,遇到內網部署環境更是麻煩,所以研究了下nginx綠色免安裝版的部署包製作,開箱即用,特此記錄分享,一下操作在centos8環境下安裝,如果需要其他內核系統的安裝(Debian/Ubuntu等),請在

原創 2024-04-29 21:38:23

iTOP-3588S開發板瑞芯微RK3588S處理器主頻2.4GHz算力6T

核心板參數: 尺寸: 55mm*45mm 連接器高度: 1.5mm CPU: RK3588S 主頻: 四核 Cortex-A55, Quad-core ARM Cortex-A76,Neon and FPU, 2.4GHZ 內存:

原創 2024-04-22 22:54:04

更換容器內的源

  執行步驟: 1. 備份 mv -f /etc/apt/sources.list /etc/apt/sources.list.bak   2. 執行替換爲阿里源 cat > /etc/apt/sources.list<< EOF deb

原創 2024-04-16 09:47:14

Ascend C 自定義PRelu算子

本文分享自華爲雲社區《Ascend C 自定義PRelu算子》,作者: jackwangcumt。 1 PRelu算子概述 PReLU是 Parametric Rectified Linear Unit的縮寫,首次由何凱明團隊提出,和Le

原創 2024-04-08 10:33:15

從0帶你設計與實現基於STM32的智慧農業管理系統

本文分享自華爲雲社區《基於STM32的智慧農業管理系統設計與實現》,作者: DS小龍哥。 一、前言 1.1 項目介紹 【1】項目功能 隨着全球農業現代化進程的加快,以及物聯網、人工智能等先進技術的發展與應用,智慧農業已經成爲現代農業發

原創 2024-03-15 11:27:08

【運維】 aws 記錄

aws ec默認用戶名 在aws中每個發佈版的默認用戶名不一樣,記錄一下。 每個 Linux 實例都使用默認的 Linux 系統用戶帳戶啓動。默認用戶名由您在啓動實例時指定的 AMI 確定。 對於 Amazon Linux 2 或 Amaz

原創 2024-03-05 02:07:37

iTOP-3588開發板定製 Ubuntu 和 Debian 系統不使用 docker 構建系統

Ubuntu  和  Debian  文件系統的源碼在“ iTOP-3588  開發板 \01_ 【 iTOP-RK3588  開發板】基 礎資料 \05_iTOP-RK3588  開發板  Linux  源碼 \02_Debian  和

原創 2024-02-29 11:34:42

使用RK3588開發板使用scp指令互傳-windows與開發板互傳

MobaXterm 軟件網盤下載路徑:“iTOP-3588 開發板\02_【iTOP-RK3588 開發板】開發資 料\04_iTOP-3588 開發板所需 PC 軟件(工具)\02-MobaXterm”。 打開

原創 2024-02-21 11:37:51

Apache DolphinScheduler 3.1.9 版本發佈:提升系統的穩定性和性能

🚀我們很高興宣佈,Apache DolphinScheduler 的最新版本 3.1.9 已正式發佈!此版本在 3.1.8 的基礎上進行了關鍵的 bug 修復和文檔更新,共計修復了 14 個 bug 和改進了 3 個文檔。 主要更新亮點

原創 2023-12-28 21:27:33

ExaGear 中附帶的 CentOS 運行環境

環境 操作系統:openEuler 開放歐拉 23.09 適用架構:ARM64(鯤鵬 920、飛騰 FT-2000/4、D2000)   簡介 在 ARM64 平臺的優麒麟中,ExaGear 安裝完成後,會提供一個 AMD64 平臺的

原創 2023-10-30 01:32:27

搭建一款性價比運行AI平臺

顯存  8G x 2 共16G顯存的 AI大模型運行平臺  上配置 配置 價格 備註   A85大板+ amd x4 760k   60 也可以h61+e3v2 或者 x99 + e5v3 或者h81+e3 v3 或者 a32

原創 2023-10-24 13:25:36

ROS機械臂篇

MoveIt安裝 由於我這裏是Ubuntu 20.04的,所以會安裝noetic版本的軟件包 sudo apt install ros-noetic-moveit 如果是Ubuntu 18.04,則運行 sudo apt inst

原創 2023-08-24 13:49:00

添加Swap分區——以AWS ubuntu系統爲例

  1、準備一塊磁盤 由於AWS 雲服務器實例,一般隨帶SSD,爲了數據安全性,單獨創建一個新硬盤給Swap分區使用。 在AWS控制檯,創建一塊硬盤,並關聯到AWS實例上,即可。 注意:不要單獨格式化,也不要單獨掛載到某個

原創 2023-08-06 01:38:55

Ubuntu20.04.6lts中安裝Redmine 5.0.5, Ruby 3.1.4

安裝後的版本信息   安裝環境和以下相同,Ruby用的3.1.4 https://my.oschina.net/SamXIAO/blog/5465047   Ubuntu20.04.4 中安裝 redmine-4.2.4 (Ruby-

原創 2023-07-29 11:22:20

Ubuntu 22.04 上 docker 安裝 Zabbix Server

1. 更新 Ubuntu 安裝源 sudo apt-get update sudo apt-get upgrade 2. 安裝 docker sudo apt install docker.io -y 3. 安裝並運行 MySQL

原創 2023-06-30 21:42:21