Splunk通过WMI远程读取Windows主机日志

最新推荐文章于 2023-10-30 21:28:24 发布
最新推荐文章于 2023-10-30 21:28:24 发布
阅读量1.5k 收藏 4
点赞数 1
文章标签: splunk wmi 监控类 windows server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baobaoyu_/article/details/106379649
版权

Splunk通过WMI远程读取Windows主机日志

在开始之前首先要保证,安装Splunk Enterprise的主机是管理员组成员,要进行远程监控的主机是所属管理的域用户。以下操作为在安装Splunk的主机上进行。

Winodws主机上的WMI权限设置

(1)更改用户COM安全权限
在搜索菜单中,输入dcomcnfg.exe运行
在这里插入图片描述
更改访问权限:Component Service->Computers->My Computer->Properties->COM Security->Edit Limits
在这里插入图片描述
添加用户,选择要访问并收取Log的主机名。
在这里插入图片描述
确认添加的用户是否有Local Access和Remove Access权限
在这里插入图片描述
添加用户的Launch and Activation Pemissions。
在这里插入图片描述
确认添加的用户有Local Launch,Remote Launch,Remote Activation权限
在这里插入图片描述
(2)WMI权限设置
注意:如果Root->Security时有报错,请检查主机是否是管理员组成员。
在开始菜单中运行WmiMgmt.msc。WMI Control(Local)->Properties->Security->Root->Security
在这里插入图片描述

添加用户并确认用户权限有四个:Execute Methods,Enable Account,Remote Enable,Read Security。
在这里插入图片描述
根据以下图步骤选择用户的命名空间。更改为This namespace and subnamespaces.
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
重启计算机,已便更新设置。
(3)测试WMI是否可用
1.登录运行Splunk Enterprise的计算机。打开命令提示符(点击搜索,输入cmd),右击选择Run Administrator。修改路径为Splunk的安装路径子目录bin。在命令行输入cd c:\Program Files\Splunk\bin
在这里插入图片描述
2.确定Splunk Enterprise当前存储数据的位置,命令行输入splunk show datastore-dir,根据提示输入Splunk的用户名和密码
在这里插入图片描述
3.命令行输入splunk set datastore-dir %TEMP%,修改Splunk Enterprise临时存储其数据的位置。此操作将数据存储目录设置为TEMP环境变量中指定的当前目录。可以按此格式进行修改为自定义目录。

在这里插入图片描述
4.重启Splunk服务。
在这里插入图片描述
5.测试对WMI提供程序的访问,输入代码splunk cmd splunk-wmi -wql "select * from win32_service" -namespace \\<host>\root\cimv2,将<host>修改为要收集日志主机的IP或主机名称。
在这里插入图片描述
如果数据流没有错误信息,则表明Splunk Enterprise可以连接到WMI。
如果数据流出现错误信息,可查看error="<msg>"中描述的具体问题。
如出现一下相同字段,可以检查IP是否可以ping通;防火墙是否关闭;WMI服务是否开启;RPC服务是否正常启动。
在这里插入图片描述

使用Splunk Web配置远程事件日志监视

1.创建索引。点击setting->indexes

在这里插入图片描述
为新索引起名字,本教程的名字为wmi。
在这里插入图片描述
2.添加设置远程机的日志收取

转到Splunk的home界面,点击Add Date.
在这里插入图片描述
选择Monitor
在这里插入图片描述

点击Remote Event Logs

在这里插入描述

填写Event Log collection name,名字可以自行定义。Event Log collection name,需要监视得主机名或着IP都可以。点击Find logs,选择需要监视主机上可用得时间日志通道列表,可以根据实际情况进行选择。
在这里插入图片描述

点击Next,查看主机名是否为监视主机得主机名,修改Index为最开始创建得名字。点击Review知道完成添加数据得操作。
在这里插入图片描述
利用Search&Reporting来查询数据是否成功传输到splunk。host=主机名 index=索引名。如果有日志信息证明成功。到这里我们就大功告成了。
在这里插入图片描述

Ashlyn_^^
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Splunk _通过WMI远程收集Windows主机日志
weixin_33985679的博客
07-29 654
Splunk通过WMI收集Windows日志方法(非AD环境主机)1.在Windows主机上创建用户,并把此用户加入本地管理员组中,例如:用户splunkag并且确保所有主机splunkag用户的密码相同。2.更改splunkag用户的Dcom权限1)运行dcomcnfg.exe命令 2)更改splunkag用户COM安全权限,点击“组件服务”->“计算机”->“...
使用SplunkWMI远程获取服务器日志
04-11
使用SplunkWMI远程获取服务器日志
通过WMI读取windows日志
weixin_33796177的博客
10-13 3064
1.以WMI读取事件日志需要目标主机的管理员权限,或者網域的Domain Admin权限 2.设定的第一步是要先确认目标主机(被读取事件的主机)的WMI服务有没有启动。 可下指令 net start winmgmt 或從服務中啟動(預設是自動啟動的) 3.目标主机开启防火墙TCP 135、139、445 port (是否三個都要開尚待確認) 以及...
Splunk 接入 Windows的DNS日志
qq_42938493的博客
07-10 915
windows 的dns日志目前在 wins 08之前的版本接入会出错,我自己实际部署过 wins2012是成功的 建议使用最新的 micorsoft add-on (当前版本8.0以上)去接入dhcp,下载地址https://splunkbase.splunk.com/app/742/ 。 然后将此包解压放到windows服务器上。 先在windows服务器安装 splunk forwarder。安装过程如下 输入用户名密码,这个不重要。然后deployment server这里不填 index.
使用WMI读取远程主机日志信息
dianchanchan1786的博客
05-29 670
需求: 需要读取远程主机信息,实时获取服务信息(检测所有远程服务器是否有报错,如果有报错,发送错误具体信息到指定邮件) //构建IP实体 namespace MonitorCaveatService { public class IPEntity { /// <summary> /// 监控目标的Se...
java获取wmi事件日志_C#WMI读取远程事件日志
weixin_34638021的博客
02-16 118
我做了以下工作以使其发挥作用 . 我希望这有帮助..static void Main(string[] args){var conOpt = new ConnectionOptions();conOpt.Impersonation = ImpersonationLevel.Impersonate;conOpt.EnablePrivileges = true;conOpt.Username = "u...
windows splunk enterprise 7.0.0 x64 crack
05-05
Collect and Index Data Search and Investigate Correlate and Analyze Visualize and Report Monitor and Alert Access from Anywhere
splunk-8.2.0-Windows&Linux.rar
05-31
这个“splunk-8.2.0-Windows&Linux.rar”压缩包包含了适用于Windows和Linux系统的版本,让用户能够跨平台地利用Splunk的强大功能。 **1. Splunk核心功能** - **数据收集**:Splunk可以从各种来源接收数据,包括...
splunk-9.1.0.2
08-15
Splunk Enterprise 是一款软件产品,可让您搜索、分析和可视化从 IT 基础架构或业务的组件收集的数据。Splunk Enterprise 从网站、应用程序、传感器、设备等接收数据。定义数据源后,Splunk Enterprise 会索引数据流...
wmi资料收集
bsnry的专栏
04-10 562
http://blog.csdn.net/breaksoftware/article/details/8439975
java获取wmi事件日志_使用WMI读取远程主机日志信息
weixin_31205191的博客
02-16 704
usingMonitorCaveatService;usingSystem;usingSystem.Collections.Generic;usingSystem.Globalization;usingSystem.IO;usingSystem.Linq;usingSystem.Management;usingSystem.Runtime.InteropServices;usingSystem.T...
splunk 提取字段_Splunk大数据日志分析系统远程获取日志数据
weixin_39655160的博客
12-22 289
1.Splunk接收器开启在Splunk服务器安装目录,执行./splunk enable listen 9997 –auth:Username默认为splunk web登陆用户名Password默认为splunk web登陆密码./splunk enable listen 9997 –auth admin:changme2.Splunk转发器安装(Linux下安装,Windows的直接下一步)h...
SyslogWMIWindows日志、FTP、SFTP、SCP、NetFlow、JMS、ActiveMQ采集协议
敲代码的彭于晏
08-01 2346
采集协议
Windows和Linux远程日志收集
ITmoster的博客
03-14 1735
每个企业都需要从其整个网络中的设备收集和监视日志数据,以确保安全性,对操作问题进行故障排除以及对安全事件进行取证分析。为此,他们可能依赖于日志管理工具或SIEM解决方案。无论使用哪种工具,将日志收集到集中位置都比看起来困难得多。从配置设备以将日志数据发送到中央服务器以确保传输中的日志的安全性,日志收集与任何其他日志管理过程一样重要且困难。
splunk index 参数设置
shenghuiping2001的专栏
02-19 625
frozenTimePeriodInSecs, coldPath.maxDataSizeMB, maxTotalDataSizeMB, 这些参数对index 的容量设置起着关键作用
使用Splunk工具分析Windows日志和Apache日志
最新发布
XYZCG的博客
10-30 658
Splunk是一款更能强大的、记录详细的日志分析软件,能处理常见的日志格式,比如Apache、Squid、系统日志、邮件日志等,可对所有日志先进行索引然后可以交叉查询,支持复杂的查询语句,最后通过直观的方式表现出来。将搜索条件改为最初条件,如下,对于导入的日志数据,可以对其进行导出,单击“导出”,在弹出的对话框中可对导出结果进行命名,格式可以选择CSV、原始事件、XML或者JSON,搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。
使用wmi脚本对系统日志进行审计
kmyhy的专栏
05-07 6307
运行all.vbs,弹出窗口:输入要进行审计的日期,点"ok",脚本会自动审计你的服务器中相关的事件日志:all.vbs代码如下:On Error Resume Next=========================================================================     System 日志摘要=============
Get-Eventlog 命令 获取远程计算机日志问题
啦啦啦的博客
11-18 3323
用此命令获取远程计算机的日志,会限制网络传输速率大概在6Mpbs左右,且是在一直交互,而不是把命令传到远程计算机,让它执行完把结果直接返回。所以造成这个命令获取远程计算机日志的效率很低。后来改用 New-Pssenssion 建立远程会话,用Invoke-Command 传送命令并返回结果,明显要快得多。最近没找到powershell源码,没法进一步看这个问题。 这个供参考一下。
CentOS上安装Splunk日志管理软件指南
"这是一个关于如何在Linux环境下安装Splunk服务端的详细步骤文档,主要涵盖了用户创建、密码设置、安装文件上传、解压、启动服务以及...通过深入了解和熟练使用Splunk,你可以有效地提升企业的日志管理和数据洞察能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值