安全运营 splunk入门

已于 2022-11-09 14:46:53 修改
阅读量10w+ 收藏
点赞数
分类专栏: 安全运维 安全运营 文章标签: 安全 网络安全 运维
于 2022-11-09 14:39:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/127768961
版权
本文介绍了Splunk的基础操作,包括常用函数如head、top、rare、rename、table、sort、eval和stats的用法,以及检索语句示例,帮助读者掌握在安全运营中使用Splunk进行数据查询和分析的基本技巧。
摘要由CSDN通过智能技术生成

0x00 常用函数

head 1000         只展示查询结果中的前1000条日志

top 10 id            获取10个出现最多的id

rare 10 id           获取10个出现最少的id

top limit=1 ip   获取发生次数最多的ip

rename student01 as 小明, student02 as 小芳   student01别名是小明,student02别名是小芳

table :返回仅由参数中指定的字段所形成的表。

table userId     形成表,表由userId组成

table 字段1,字段2,字段3

sort:基于某个字段排序(升序、降序),降序的字段前面要使用-号,升序的使用+(可省略)

     默认只会返回10000条数据,如果想要返回全部数据,需要在sort命令后面加上0即可

sort 0 age     age字段升序排列

eval:评估命令         后面通过表达式进行一些计算

eval test=age+sex

eval 新字段1=if(字段1 in("a","b","c"),"结果1","结果2") eval if in:如果字段1 的值为a,b,c中的任意一个,则新字段1的值为“结果1”,否则新字段1的值为“结果2”

stats:                    将查询结果进行聚合统计,类似SQL中的group

stats count by 字段1,字段2        将查询结果按字段

最低0.47元/天 解锁文章
leeezp
关注
专栏目录
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3665
2019独角兽企业重金招聘Python工程师标准>>> ...
Splunk 结构及常用命令
右后方,天才的博客
05-06 1685
splunk 基本安装 设置用户及密码 spluk/Splunk123$ 启动splunk /app/splunk/splunkforwarder/bin/splunk start 添加forward /app/splunk/splunkforwarder/bin/splunk add forward-server 10.164.2.84:9997 添加deploy /app/splunk...
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 4340
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
使用开源Echarts为Splunk打造类似语法驱动的分析可视化
weixin_34281477的博客
05-02 440
2019独角兽企业重金招聘Python工程师标准>>> ...
常用的Splunk命令
qq_45800977的博客
08-29 478
索引默认位置:/opt/splunk/var/lib/splunk。关闭/开启splunk服务。修改后需要重启splunk。可以通过配置文件进行修改。查看是否处于开机自启状态。状态、启动、停止、重启。修改后重启splunk
Splunk 5.0 搜索处理语言(SPL)入门指南
10. **应用范围**: Splunk不仅仅适用于IT运营,还可以应用于安全监控、业务分析、物联网(IoT)数据处理等多个领域,为企业提供全面的数据洞察。 《Exploring Splunk》这本书为读者提供了一个深入理解SPL和使用Splunk...
Splunk企业版4.3.4管理手册
- **理解Splunk的作用**:Splunk可以帮助企业收集、分析和利用机器生成的数据,提升运营效率和安全性。 - **融入企业环境**:整合Splunk到现有IT架构中,可以监控系统健康、优化性能、进行故障排查和安全分析。 ###...
MySQL数据库图片存储安全防护指南:从入门到精通
[MySQL数据库图片存储安全防护指南:从入门到精通](https://img-blog.csdn.net/20160621100852163) # 1. MySQL数据库图片存储安全概述** MySQL数据库作为广泛使用的关系型数据库,在存储和管理图片方面发挥着重要...
安全加固全攻略:POPOS从入门到精通的高级技巧
![安全加固全攻略:POPOS从入门到精通的高级技巧]...# 1. POPOS系统概述与安全基础 ## 系统概述 POPOS(Point of Presence Operating System)系统是一个为网络运营
Splunk分布式部署简介
最新发布
qq_57403020的博客
10-24 675
Splunk Enterprise分布式部署概述 第一节 使用 Splunk Enterprise 组件扩展部署 在单实例部署中,Splunk Enterprise 的一个实例处理数据的所有方面,从输入到索引再到搜索。单实例部署可用于测试和评估目的,并能满足部门级规模的环境的需求。 但是,为了支持更大的环境,其中许多计算机都会生产数据,并且许多用户都需要搜索数据,可以通过在多台计算机上分布式部署Splunk Enterprise 实例。进行分布式部署时,要配置各个实例以便每个实例执行专门的任务。例
Splunk工具学习(下载、安装、简单使用、核心概念)
关注网络安全、云原生安全
03-24 8951
目录什么是Splunk?介绍Splunk的应用场景Splunk架构Splunk下载与安装docker安装(推荐)手动安装Splunk简单使用登录搜索参考 什么是Splunk? 介绍 splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大
Splunk系列:Splunk搜索分析篇(四)
03-18 5954
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
一、splunk入门
weixin_43374578的博客
10-25 6944
一、简介 1. Machine Data 一般公司中,机器数据占了大概90%以上,包含如应用数据,监控数据,脚本数据等; 机器数据的数据结构各种各样; 处理数据繁琐且难度大,因此引入工具来提升数据分析效率; 2. Splunk 用来处理数据的,主要包含5个功能 2.1 Index Data 将所有数据进行处理,索引,将数据包装成一个个的event,并存储在指定的位置中; 在检索的时候,通过输入的检索条件,从指定的位置中去读取数据; 2.2 Search & Investigate 在搜
Splunk学习与实践
hl1293348082的专栏
04-10 1570
1、Splunk公司与产品 美国Splunk公司,成立于2004年,2012年纳斯达克上市,第一家大数据上市公司,荣获众多奖项和殊荣。总部位于美国旧金山,伦敦为国际总部,香港设有亚太支持中心,上海设有海外第一个研发中心。 产品:Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【大数据分析平台】、Splunk Apps【基于企业版的插件】等。企业版按索引的数据量收费,免费版每天最大数据索引量500MB,可使用绝大多数企业版功.
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
splunk大数据分析 从入门到实践
qq_38111600的博客
07-02 4620
目录0×01 初识splunk0x02 Linux上安装Splunk0x03 Windows上安装Splunk0×04 Splunk安装后配置 0×05 Splunk的目录结构 0×06 Splunk常用的CLI命令  0×07 实战-导入数据前的准备 0×08 实战-导入并分析本地数据-10×09 实战-导入并分析本地数据-20×10 使用转发器转发数据0×11 实战-数据分析和可视化-1 0×...
Splunk 基本使用
weixin_34313182的博客
06-24 748
  Splunk 作为大数据搜索处理软件,作为行业的翘楚,绝对值得探索和学习,Splunk能实时对任何应用程序、服务器或者网络设备的数据和数据源进行搜索和索引,包括任何位置的日志、配置文件、信息、陷阱和预警、脚本及其他各种类型的信息,号称 “机器能产生,Splunk就能索引”。   1、Splunk的正则使用      常用的的匹配方式为: rex 和regex   1.1 r...
大数据搜索选开源还是商业软件?ElasticSearch 对比 Splunk
weixin_34326429的博客
05-02 931
本文就架构,功能,产品线,概念等方面就ElasticSearch和Splunk做了一下全方位的对比,希望能够大家在制定大数据搜索方案的时候有所帮助。 简介 ElasticSearch (1)(2)是一个基于Lucene的开源搜索服务。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,...
初学Splunk
weixin_30381317的博客
05-17 672
splunk简介 https://www.splunk.com/zh-hans_cn/download.html splunk简体中文版手册 http://docs.splunk.com/Documentation/Splunk/6.5.0/Translated/SimplifiedChinesemanuals====================================...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值