splunk与日志分析

最新推荐文章于 2023-10-30 21:28:24 发布
最新推荐文章于 2023-10-30 21:28:24 发布
阅读量3.8k 收藏 14
点赞数 2
分类专栏: 日志分析 splunk 安全服务 文章标签: splunk 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allinallp/article/details/117748893
版权

splunk与日志分析

splunk的使用

在安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程中,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作中使用的一些思路。

splunk配置

打开splunk选择search&reporting应用
在这里插入图片描述在设置中选择添加数据选项,选择离线上传方式。

在这里插入图片描述选择数据来源
splunk自带了很多日志类型,如果没有与我们需要分析的日志匹配的,我们点击下一步。
在这里插入图片描述
自定义来源类型
填写来源类型、名称及描述

在这里插入图片描述
输入设置:
新建索引:Splunk 平台在选定的索引中将传入数据存储为事件,方便我们后期搜索。
这里设置索引为”2021nginx_access”

在这里插入图片描述
在这里插入图片描述在这里插入图片描述检查我们添加的数据信息:
在这里插入图片描述提交成功,进行搜索
在这里插入图片描述source=“nginx_access_2020-05-31.log” host=“WIN-74J486TOVSJ” index=“2021nginx_access” sourcetype=“nginx_access_log”

可以看到搜索匹配日志的重要参数,由于我们设置了索引,只需要保留index字段即可。
在这里插入图片描述

日志字段提取

接下来介绍一下,当splunk无法识别我们的日志类型时,无法自动提取我们想要的字段,平台提供了两种方式进行自定义的字段提取

在这一条记录中我们发现只有host、source、sourcetype三个字段,我们需要将日志内容字段进行提取

在这里插入图片描述在字段设置区域点击提取新字段
在这里插入图片描述

选择一条内容完整的日志作为提取的样例
在这里插入图片描述
选择方法
Splunk提供了两种提取的方式,一种是正则表达,一种是分隔符,由于大部分日志记录没有明显的分隔符且日志字段复杂,所以一般情况下选择正则表达式。Splunk具有强大的自动生成正则表达式的功能,一般情况下不需要我们自己去写正则。
在这里插入图片描述
我们只需要勾选对应的字段,并设置字段名称,splunk会为我们自动生产正则表达式,并同将正则同步到所有的日志。
在这里插入图片描述
提取了7个重要的字段

在这里插入图片描述

保存后对我们的正则进行验证,查看是否达到我们想要的提取效果
在这里插入图片描述

nginx access日志格式详解

time_local 本地时间戳
host 请求host地址
remote_addr 远程请求地址
request 请求uri
request_time 整个请求的总时间
body_bytes_sent 请求文件内容大小
status http请求状态
upstream_addr 后台提供服务的地址(即转发处理的目标地址)
upstream_reponse_time 请求时,upstream的响应时间
upstream_status upstream状态
http_refer url跳转来源
http_user_agent 用户终端浏览器的UserAgent

到此我们完成了日志的前期处理,接下来我们返回到搜索功能,定位我们的日志,选择提取的字段,发现所有字段提取成功。

在这里插入图片描述

日志分析场景

这里使用tomcat的access日志进行分析

已知ip,查看行为

使用语句进行筛选
index=“tomcat_log” tomcat_access_ip=xxx.165.152.167
在这里插入图片描述使用splunk语句查看该ip所有访问情况,可以快速查到该ip的行为
index=“tomcat_log” tomcat_access_ip=xxx.165.152.167 |top tomcat_uri limit=1000
在这里插入图片描述之后会继续更新splunk在安全服务场景中的使用情况,更多的splunk语句参考官方使用手册:https://docs.splunk.com/Documentation/Splunk/7.2.4/Translated/SimplifiedChinesemanuals

TenOneone
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Splunk 处理日志时间延迟
shenghuiping2001的专栏
04-08 580
Splunk日志延迟,如果是短时间延迟,可能是thruput 参数配置,如果是好几个小时,那就要考虑本文介绍的方法了。
Splunk日志分析
11-01
日志分析工具,splunk
Splunk使用记录-安全日志聚合分析
煜铭2011
04-02 7483
Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等此处我们将splunk 用于网络安全的SIEM/SOC、日志安全审计系统等。
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 3301
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
splunk 日志分析软件 简介
whatday的专栏
09-18 6692
目录 Splunk总体介绍 简介 Splunk是什么 Splunk做什么 Splunk如何做 应用场景 日志管理 为机器数据建立索引 搜索、关联、调查 钻取分析 监控&告警 报表和仪表盘 IT运维监控 IT运维监控视图 丰富的App和插件 安全和欺诈 安全神经中心 安全挑战 高级威胁检测 内部威胁 合规 欺诈与盗窃 用户行为分析 数据从哪儿来 数据源类型 文件和目录 网络事件 Windows数据源 其他数据源 数据提取 数据如何分...
splunk 日志分析_10种用于日志分析Splunk替代品
科技博客的分析“工具人”
07-10 882
splunk 日志分析 快! 命名日志分析服务。 如果从您的嘴里突然冒出的第一个单词是“ Splunk”,那么您并不孤单。 但是Splunk的成功激发了许多其他人(无论是开源的还是商业的)进行日志分析游戏的。 这里有很多竞争者,从服务到开源堆栈,都为系统管理员和开发人员提供了很多服务。 [InfoWorld的要点: 什么是大数据分析? 您需要了解的所有内容 • 什么是数据挖掘? 分析如何...
SPLUNK大数据日志系统分析平台技术方案
06-21
SPLUNK大数据日志系统分析平台技术方案
splunk智能运维&大数据日志分析(网站流量日志分析)实战视频教程
06-10
Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。客户可使用 Splunk 来搜索、监测、分析和可视化机器数据。本套课程为2018年录制,共23集,软件版本...
利用Splunk做应用程序的性能分析
02-24
现在有了Splunk,真的极大的简化了对日志分析的工作。(注Splunk免费版支持每天500M的日志数据,超过这个额度需要收费)通过日志进行性能测试是非常常见的,传统的也是在要分析的代码处,注入性能日志,然
splunk 中文手册.zip
09-06
splunk 7.10 官网用户手册,简体中文版,包含概述,安装手册等.
splunk分布式日志收集和搜索
04-09
分布式 搜索 日志收集分布式 搜索 日志收集分布式 搜索 日志收集
使用Splunk工具分析Windows日志和Apache日志
XYZCG的博客
10-30 433
Splunk是一款更能强大的、记录详细的日志分析软件,能处理常见的日志格式,比如Apache、Squid、系统日志、邮件日志等,可对所有日志先进行索引然后可以交叉查询,支持复杂的查询语句,最后通过直观的方式表现出来。将搜索条件改为最初条件,如下,对于导入的日志数据,可以对其进行导出,单击“导出”,在弹出的对话框中可对导出结果进行命名,格式可以选择CSV、原始事件、XML或者JSON,搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。
Splunk简介,部署,使用
justlpf的专栏
04-26 2076
收集,存储,索引,搜索,关联,可视化,分析和报告日志管理用例日志整合和保留,安全性,IT操作故障排除,应用程序故障排除以及合规性报告Splunk 是一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你需要 Splunk。能处理常规的日志格式,比如 apache、squid、系统日志、mail.log 这些。对所有日志先进行 index,然后可以交叉查询,支持复杂的查询语句。然后通过直观的方式表现出来。
Splunk中将一条多行记录拆成多条记录
QYHuiiQ
09-15 634
splunk中,有些数据可能是一条记录,但是这条记录存在换行,所以我们想把每一行都拆分成单独的一条数据,使用如下正则: index="xxx" source="yyy" | rex max_match=0 "^(?<lines>.+)\n*" | mvexpand lines | table lines ......
splunk高效分析安全设备日志
llmmkc123的博客
07-08 1582
spunk分析安全设备日志
splunk 取log 的hostname 的实践
shenghuiping2001的专栏
10-09 329
1: 背景: 由于很多server 的会发送相同类型的log, 这种log 会在前面加上client 的hostname, 这种时候,就可以根据host 来分每个host 有多少log 过来: 2: 相关设置: set host: regex on path: 上面的正则表达式是:\/([\w|\-|\.]*)\..*aquasec\.log 就是以aquasec.log 结尾的,实现把host 取出来。 3: 查询效果: 可以看到,其他类型的log, 没有把host 给截取...
SIEM之基于Splunk日志监控
信息安全-企业安全-数据安全
09-15 372
0x0 概述 Splunk是什么? Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。 Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。 Splunk功能概述 数据获取:Splunk支持各种格式(如XML、JSO
日志获取公网Ip以及内网穿透
莽夫的博客
11-19 767
使用guns框架获取登录日志时发现服务器ip一直是"127.0.0.1". 查看是不是那里出了问题。要想结局这个问题,就要先找到那些地方插入ip,插入时是怎么获取的。 顺藤摸瓜,找到了getIP(),这个方法,进入原始方法查看,发现方法是HttpContext.class中提供的,但是不知道为什么不生效。于是我决定改变策略,不如自己写一个工具类,提供getAddress()获取公网Ip. public static String getIpAddress() { HttpServletRequest
syslog服务器与elk区别_Splunk和ELK深度对比
weixin_39676348的博客
12-19 391
随着Splunk越来越被大家熟知和认可,现在市面上也不断涌各种同类产品,作为大数据搜索界的翘楚Splunk和ElasticSearch,绝对值得我们去学习,探索和使用,因此为了造福Splunk的铁粉和新粉们,小编特邀了Splunk的资深架构师,江湖人称“陶指导”的陶刚为大家就架构,功能,产品线,概念等方面将Splunk和ElasticSearch做了一下全方位的对比,希望能够给大家在制定大数据搜索...
splunk java
最新发布
02-29
Splunk是一种用于实时监控、搜索、分析和可视化大规模机器生成的数据的软件平台。它提供了一种强大的方式来处理和分析各种类型的数据,包括日志文件、事件数据、指标数据等。 Splunk提供了多种编程语言的SDK,其中包括Java SDK。Splunk Java SDK是一个用于与Splunk进行交互的Java库,它提供了一组API和工具,使开发人员能够通过Java代码与Splunk进行通信。 使用Splunk Java SDK,您可以执行以下操作: 1. 连接到Splunk服务器并进行身份验证。 2. 搜索和检索Splunk中的数据。 3. 创建、更新和删除Splunk中的索引、事件和字段。 4. 执行各种查询和分析操作,如过滤、排序、聚合等。 5. 将结果可视化并导出为各种格式,如JSON、CSV等。 要开始使用Splunk Java SDK,您需要在Java项目中添加相应的依赖,并使用SDK提供的类和方法来编写代码。您可以使用SDK提供的示例代码作为起点,并根据自己的需求进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值