安全运营 -- splunk 二次开发 -- 自定义搜索命令

已于 2023-05-28 17:41:11 修改
阅读量10w+ 收藏
点赞数
分类专栏: 安全运营 网络安全 splunk 文章标签: 安全 网络安全 python
于 2023-05-28 17:40:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/130914315
版权
本文介绍了如何在Splunk中进行二次开发,通过Python实现自定义搜索命令来对接第三方API。首先,解释了自定义搜索命令的工作原理,并提供了官方文档链接。接着,详细说明了环境准备,包括安装Splunk Python SDK和设置 Splunk Enterprise 环境。在实践中,展示了创建一个App的过程,将Python脚本放入bin目录并遵循SDK的接口要求。最后,展示了使用自定义命令的效果,如`makeresults | eval ip="ip1", ip="ip2" | xx api=ip field=ip`,并给出了参考资源。" 87977268,7859128,NFS服务详解与配置实战,"['NFS', '文件系统', 'Linux服务器', '网络服务', '远程文件共享']
摘要由CSDN通过智能技术生成

0x00 背景

splunk 有很多功能强大的搜索函数,当官方提供的函数无法满足需求时,就需要自己开发app,场景比如对接第三方api等。

0x01 原理

How custom search commands work

https://dev.splunk.com/enterprise/docs/devtools/customsearchcommands/

0x02 环境准备

1.splunk python sdk 下载

GitHub - splunk/splunk-sdk-python: Splunk Software Development Kit for Python

2.Splunk Enterprise 环境

0x03 实践

本文以对接第三方api为例开发一个app,用python实现,目的是将python的功能整合到splunk搜索结果中,并在搜索返回值的表格中体现python代码的执行结果。

先看一下自定义搜索命令的官方文档吧:

最低0.47元/天 解锁文章
leeezp
关注
专栏目录
Splunk create app
QYHuiiQ
06-20 423
参考文档:https://dev.splunk.com/enterprise/docs/developapps/createapps/https://dev.splunk.com/enterprise/docs/developapps/createapps/addnavsplunkapp/youtube video:https://www.youtube.com/watch?v=EaRpID7FuhMhttps://www.youtube.com/watch?v=oFzfuVJSho0Splunk自带的给我
splunk编写自定义命令
Jepson的博客
07-17 743
编写splunk自定义命令
Splunk自定义命令开发
白M的博客
02-05 1332
目录 简介 自定义命令如何运作的? 使用什么语言开发自定义命令? 内置Python所在位置 如何在后台使用内置Python 内置Python版本 内置Python使用的包和库所在位置 是否有现成的SDK等? SDK下载 SDK存放位置 开发的过程中有什么主意事项? 有什么格式要求? 如何获取到系统中的数据? 如何将脚本处理好的数据返回给系统? 开发好的自定义命令脚本放在什么地方? 给多个APP使用 给自己的APP使用 是否需要做什么配置让Splunk知道开发了自定义.
Splunk SDK for Python 使用教程
最新发布
gitblog_00562的博客
08-15 358
Splunk SDK for Python 使用教程 splunk-sdk-pythonSplunk Software Development Kit for Python项目地址:https://gitcode.com/gh_mirrors/sp/splunk-sdk-python 1. 项目的目录结构及介绍 Splunk SDK for Python 的 GitHub 仓库(https://...
Splunk对接企业微信自定义SPL命令
白M的博客
06-21 707
简介 新版8.0.3使用微信告警APP有问题,旧告警脚本功能被废除,所以做个自定义命令来使用。方便灵活。 环境 Centos7 Splunk 8.0.3 Python2.7 SDK 1.6.13 代码 # coding: utf-8 # 20200621 by # import sys import urllib3 import requests import time from splunklib.searchcommands import dispatch, StreamingCommand,
安全基本指南-ueba-splunk.pdf
12-10
安全基本指南-ueba-splunk.pdf
Splunk 体系介绍
热门推荐
ffjl1985的专栏
11-08 1万+
Splunk总体介绍 Splunk是什么     Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。 Splunk 是一个数据引擎。 针对所有IT系统和基础设施数据, 提供数据搜索、报表和可视化展现。 Splunk是软件 – 5分钟就可以下载和安装。 可以运行在各种主流的操作系统平台。  Splunk做什么
容器-Docker《一》介绍和安装
weixin_51943889的博客
12-31 645
Docker容器介绍和安装
2022年陕西省职业院校技能大赛中职组网络安全赛项规程
Jay
04-23 9967
2022年陕西省职业院校技能大赛中职组 网络安全赛项规程 一、赛项名称 赛项名称:网络安全 赛项归属: 信息技术类 二、竞赛目的 为检验中职学校网络信息安全人才培养成效,促进网络信息安全专业教学改革,培养大批既满足国家网络安全战略需要有具备世界水平的优秀技能人才,在社会上营造“技能改变命运、匠心成就人生”的崇尚技能的氛围,国家教育部联合多部委联合特举办本赛项。 (一)检验教学成效 竞赛内容涵盖了网络信息安全行业企业岗位对学生职业技能的最新要求,竞赛过程为完整工作任务的具体实施,竞赛评价标准符
Splunk 安全App和Add-on整理总结
ffjl1985的专栏
11-24 1851
Splunk功能性 App和插件 赛门铁克 终端防护插件 App:https://splunkbase.splunk.com/app/2772/ Symantec Endpoint ProtectionAdd-on 允许Splunk平台管理员从Symantec Endpoint Protection Manager转储文件收集SEP服务器和客户端活动日志。 在Splunk平台对事件进行索
splunk-sdk-python:适用于PythonSplunk软件开发套件
04-13
适用于PythonSplunk企业软件开发套件 版本1.6.15 适用于PythonSplunk企业软件开发套件(SDK)包含库代码和示例,旨在使开发人员能够使用Splunk平台构建应用程序。 Splunk平台是一个搜索引擎和分析环境,它使用分布式map-reduce体系结构来有效地索引,搜索和处理大型时变数据集。 Splunk平台在系统管理员中很流行,用于聚合和监视IT机器数据,安全性,合规性以及各种各样的其他场景,这些场景共享有效的索引,搜索,分析并从大量信息中实时生成通知的要求。时间序列数据。 Splunk开发人员平台使开发人员可以利用Splunk平台所使用的相同技术来构建令人兴奋的新应用程序。 Splunk SDK for Python入门 开始使用适用于PythonSplunk Enterprise SDK 适用于PythonSplunk Enterprise
splunk api手册
10-18
splunk6.0的相关说明文档。繁体中文。
Splunk: 2018年用机器学习应对安全挑战
weixin_34014277的博客
03-05 141
在2018年,随着移动通信、云计算、物联网和交通运输等技术在数字化转型的推动下不断发展,我们将看到网络攻击面也会不断扩展和演变。在一个联网的世界里,到处都有可能成为黑客的切入点,不论是员工的智能手机,还是越来越自动化的交通工具。 黑客的攻击能力已经发展到足以攻破传统的预防和检测边界、区域和行业,这种局面没有丝毫放缓的迹象,而且黑客正在扩展攻击面使攻击范...
结合Splunk与Gigamon构建安全监控分析响应系统
weixin_34150503的博客
12-28 392
Splunk Enterprise Security (ES) 是一款基于数据分析平台Splunk Enterprise,高度定制开发的SIEM系统。可提供由网络、端点、访问权限、恶意软件、漏洞和身份信息等信息安全技术生成的机器数据见解。该解决方案可使信息安全团队快速检测并响应内部和外部攻击,以在最小化风险并保护企业的同时简化威胁管理。Splunk E...
开源神器:Splunk Shells App,红队与渗透测试者的利器
gitblog_00001的博客
06-04 390
开源神器:Splunk Shells App,红队与渗透测试者的利器 splunk_shellsWeaponizing Splunk with reverse and bind shells. 项目地址:https://gitcode.com/gh_mirrors/sp/splunk_shells 在当今复杂的企业安全环境中,每一个漏洞都可能成为敌手的入口点。为了提升网络安全专业人士在高度警惕的...
Splunk说,2018这“四点”不容错过
12-24 1093
在人工智能时代,让我们体验一次智慧之旅吧!在号称全球五大机场之一的迪拜机杨,旅客可以在五分钟甚至更短的时间内通过机场安检,这是因为安装在天花板上的传感器可以监测安检队伍,通过后台的大数据分析,可以判断是否需要新增一个安检队列;机场行李传送带也被全面监测,每件行李都200个数据点,通过对这些数据进行分析,机场可以提前4小时预知瓶颈会出现在哪里;迪拜机杨拥有全球访问速度最快的Wi-Fi,Wi-Fi访问
Splunk智能运维实战》——第2章 深入数据——搜索和报表 2.1 简介
weixin_33796205的博客
05-02 324
本节书摘来自华章计算机《Splunk智能运维实战》一书中的第2章,第2.1节,作者 [美]乔史·戴昆(Josh Diakun),保罗R.约翰逊(Paul R. Johnson),德莱克·默克(Derek Mock),译 宫鑫,康宁,刘法宗 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。 第2章 深入数据——搜索和报表 2.1 简介 之前的章节介...
SIEM之基于Splunk的日志监控
信息安全-企业安全-数据安全
09-15 404
0x0 概述 Splunk是什么? Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。 Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营安全合规、商业分析等。 Splunk功能概述 数据获取:Splunk支持各种格式(如XML、JSO
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值