安全运维 -- splunk 操作手册(1)

于 2024-05-14 10:53:21 发布
阅读量316 收藏 9
点赞数 3
分类专栏: 程序员 文章标签: 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968977/article/details/138845532
版权

登录DS 后台

vim /opt/splunk/etc/development-apps/prefix_all_indexes/local/indexes.conf

新增索引 [prefix_mailcasph]

[prefix_mailcasph]                                                                                                                               homePath = volume:hotwarmdb/prefix_mailcasph/db                                                                       coldPath = volume:colddb/prefix_mailcasph/colddb                                                                       thawedPath = $SPLUNK_DB/prefix_mailcasph/thaweddb

inputs 负责数据采集,props负责数据解析

配置inputs文件夹

vim prefix_mailcasph_inputs/local/app.conf   (这个一般参考default/app.conf 不做修改)

[install]                                                                                                      
state = enabled                                                                                                
                                                                                                               
[package]                                                                                                      
check_for_updates = false                                                                                      
                                                                                                               
[ui]                                                                                                           
is_visible = false                                                                                             
is_manageable = false

vim prefix_mailcasph_inputs/local/inputs.conf

[monitor://D:\Exchange Server\Logging\HttpProxy\Eas\HttpProxy*.log]                              
index = prefix_mailcasph                                                                                   
sourcetype = ms:exchange:http_proxy                                                                            
crcSalt =                                                                                             
disabled = false

metadata 文件夹
local.meta:[]                                                                                                             
access = read : [ * ], write : [ admin ]                                                                       
export = system

配置props文件夹

vim prefix_mailcasph_inputs/local/app.conf

[install]                                                                                                      
state = enabled                                                                                                
                                                                                                               
[package]                                                                                                      
check_for_updates = false                                                                                      
                                                                                                               
[ui]                                                                                                           
is_visible = false                                                                                             
is_manageable = false

props.conf   (来自splunk论坛某篇文章)

[ms:exchange:http_proxy]

CHARSET=UTF-8                                                                                                  
INDEXED_EXTRACTIONS=csv                                                                                        
FIELD_DELIMITER=,                                                                                              
KV_MODE=none                                                                                                   
SHOULD_LINEMERGE=false                                                                                         
disabled=false                                                                                                 
TIMESTAMP_FIELDS=DateTime                                                                                      
TRANSFORMS-killheader1 = kh1                                                                                   
SHOULD_LINEMERGE=true                                                                                          
LINE_BREAKER=([\r\n]+)\d{4}-\d{2}-\d{2}T                                                                     
TIME_PREFIX = ^                                                                                                
TIME_FORMAT = %Y-%m-%dT%H:%M:%SZ                                                                         
MAX_TIMESTAMP_LOOKAHEAD = 25                                                                                   
NO_BINARY_CHECK=true                                                                                           
REPORT-extractfields = extractfields

transforms.conf   (来自splunk论坛某篇文章)

[kh1]                                                                                                          
REGEX = ^DateTime                                                                                              
DEST_KEY = queue                                                                                               
FORMAT = nullQueue                                                                                             
[extractfields]                                                                                                
DELIMS=“,”                                                                                                     
FIELDS=DateTime,RequestId,MajorVersion,MinorVersion,BuildVersion,RevisionVersion,ClientRequestId,Protocol,UrlHo
st,UrlStem,ProtocolAction,AuthenticationType,IsAuthenticated,AuthenticatedUser,Organization,AnchorMailbox,UserA
gent,ClientIpAddress,ServerHostName,HttpStatus,BackEndStatus,ErrorCode,Method,ProxyAction,TargetServer,TargetSe
rverVersion,RoutingType,RoutingHint,BackEndCookie,ServerLocatorHost,ServerLocatorLatency,RequestBytes,ResponseB
ytes,TargetOutstandingRequests,AuthModulePerfContext,HttpPipelineLatency,CalculateTargetBackEndLatency,GlsLaten
cyBreakup,TotalGlsLatency,AccountForestLatencyBreakup,TotalAccountForestLatency,ResourceForestLatencyBreakup,To
talResourceForestLatency,ADLatency,SharedCacheLatencyBreakup,TotalSharedCacheLatency,ActivityContextLifeTime,Mo
duleToHandlerSwitchingLatency,ClientReqStreamLatency,BackendReqInitLatency,BackendReqStreamLatency,BackendProce
ssingLatency,BackendRespInitLatency,BackendRespStreamLatency,ClientRespStreamLatency,KerberosAuthHeaderLatency,
HandlerCompletionLatency,RequestHandlerLatency,HandlerToModuleSwitchingLatency,ProxyTime,CoreLatency,RoutingLat
ency,HttpProxyOverhead,TotalRequestTime,RouteRefresherLatency,UrlQuery,BackEndGenericInfo,GenericInfo,GenericEr
rors,EdgeTraceId,DatabaseGuid,UserADObjectGuid,PartitionEndpointLookupLatency,RoutingStatus

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84968977
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3550
2019独角兽企业重金招聘Python工程师标准>>> ...
splunk-add-on:Splunk的QuoLab附加组件
03-18
Splunk的QuoLab附加组件 来源类型 来源类型 目的 命令:quolabquery 与自定义QuoLab SPL命令相关的内部日志和统计信息。 故障排除 启用调试日志记录: | quolabquery logging_level=DEBUG query=... 内部/脚本错误...
安全运维 -- splunk 操作手册
最新发布
leeezp的博客
04-30 3万+
日常运维操作笔记 (持续更新)
SPLUNK8.2.0中文手册
03-18
SPLUNK8.2.0中文手册,涵盖安装、数据接入、检索等内容,中文版本
Splunk安装配置和基础运维_splunk中文手册
2401_83947398的博客
04-27 825
Splunk 社区 ,包括白皮书,各类手册,资源下载,社区问答等Splunk 入门指南 | Splunk数据可视化工具Splunk Enterprise免费下载 | Splunk简体中文版手册 - Splunk Documentation最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
一、splunk入门
weixin_43374578的博客
10-25 6548
一、简介 1. Machine Data 一般公司中,机器数据占了大概90%以上,包含如应用数据,监控数据,脚本数据等; 机器数据的数据结构各种各样; 处理数据繁琐且难度大,因此引入工具来提升数据分析效率; 2. Splunk 用来处理数据的,主要包含5个功能 2.1 Index Data 将所有数据进行处理,索引,将数据包装成一个个的event,并存储在指定的位置中; 在检索的时候,通过输入的检索条件,从指定的位置中去读取数据; 2.2 Search & Investigate 在搜
splunk智能运维&大数据日志分析(网站流量日志分析)实战视频教程
07-08
Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。客户可使用 Splunk 来搜索、监测、分析和可视化机器数据。本套课程为2018年录制,共23集,软件版本7.1。
splunk官方文档学习笔记【安装,添加数据,搜索功能,管道命令】这一篇带你了解splunk
m0_48325361的博客
08-23 2721
文章目录前言一、splunk介绍1.安装2.添加数据二、splunk搜索功能1.匹配搜索2.字段搜索3.管道命令(|)4.子搜索([]) 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、splunk介绍 1.安装 2.添加数据 二、splunk搜索功能 1.匹配搜索 2.字段搜索 3.管道命令(|) 4.子搜索([]) ...
vim-splunk:Splunk .conf文件的语法突出显示
05-26
Splunk .conf文件的语法突出显示该项目是无牌的。 如果您想贡献,请分叉此存储库,并通过Github提交拉取请求,或给我发电子邮件:gmail dot com的colbyw。 感谢这个项目的许多贡献者。 从7.0分支开始,主提交cbe67eb...
TA-pinsafe:Splunk的可旋转安全PINsafe插件
02-15
适用于Splunk的PINPIN旋转附件 文献资料 可以在以下位置找到文档: :
splunk 7.0 中文手册
04-09
splunk 7.0 中文手册完整版,一共23个PDF文件。csdn能找到的资源都比较旧,也不全。从官网搞了一套完整的,有需要的就下吧
splunk 数据导入操作手册 Splunk-8.2.0-Data-zh-CN
05-31
splunk 数据导入操作手册 Splunk-8.2.0-Data_zh-CN
splunk8.0中文文档手册.rar
08-06
splunk8.0中文文档手册,详细介绍每个组件和使用方法,包括安装,索引,转发,部署,管理员,查询,安全等详细内容
splunk-app-proper-alerts:Splunk应用程序可跟踪配置的警报
05-27
2021年1月17日 发行说明 现在可以按类型搜索已保存的搜索-警报或报告 文献资料 先决条件 这些应用程序必须部署到您的搜索头: 部署步骤 通过Open in Search单击“ Open in Search从“报告”选项卡启动Update KV ...
Splunk安装配置和基础运维
安全解决方案
05-24 1366
Splunk 社区 ,包括白皮书,各类手册,资源下载,社区问答等Splunk 入门指南 | Splunk数据可视化工具Splunk Enterprise免费下载 | Splunk
Splunk工具学习(下载、安装、简单使用、核心概念)
关注网络安全、云原生安全
03-24 7718
目录什么是Splunk?介绍Splunk的应用场景Splunk架构Splunk下载与安装docker安装(推荐)手动安装Splunk简单使用登录搜索参考 什么是Splunk? 介绍 splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 3742
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
Splunk入门与SPL语言操作指南
Splunk手册是一本由Splunk首席策划David Carasso编写的官方繁体中文文档,专注于介绍Splunk的探索、搜寻处理语言(SPL)入门和操作。本书是针对 Splunk这款强大的数据搜索和分析工具的专业指南,旨在帮助用户深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值