Splunk使用记录-安全日志聚合分析

已于 2022-07-26 16:45:09 修改
阅读量8k 收藏 13
点赞数 1
分类专栏: 基础安全 安全建设 文章标签: splunk 日志分析 蜜罐日志分析 日志安全审计 安全日志分析
于 2022-04-02 18:13:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/123924891
版权

0x0 背景

Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。

数据获取:Splunk支持各种格式(如XML、JSON)和非结构化机器数据的获取。

数据索引:Splunk会自动索引从各方获取的数据,以便在各种条件下进行搜索

数据搜索:Splunk中的搜索包括在仪表板上创建指标或索引的模式。

Dashboards:以透视表、图表、报告等形式展示搜索结果

告警:用于在分析数据中发现的某些异常活动时触发邮件或其他方式的告警推送。

Splunk 的三大组件:

Splunk 转发器:用于收集日志的组件,将日志数据转发给Splunk索引器进行处理和存储。

Splunk 索引器:用来索引和存储转发器中的数据,将传入的数据转换为事件,并将其存储在索引中,以便高效地执行搜索操作。

Splunk 搜索头:用于与Splunk交互的组件。为用户提供了一个图形用户界面来执行各种操作。用户可以通过输入搜索词来搜索和查询索引器中存储的数据。

此处我们将splunk 用于网络安全的SIEM/SOC、日志安全审计系统等。

0x01、添加数据

(1)攻击日志

此处我们采用已搭建的蜜罐系统的攻击日志(上钩列表)为数据源,导出攻击日志数据。

  备注:普遍的形式是:安全设备通过syslog把日志发送到服务器。如下为举例。

 

(2)导入数据


此处,我们通过【上载来自我的计算机的文件】的方式导入数据,如下所示:

 

 

3.监听syslog日志

0x02、检索数据

 (1)对日志进行检索

  • 上传日志文件检索:

多个相同的日志使用同一个报表或者仪表板:因为如果后续需要上传类似的日志,建议使用正则进行匹配,这样子就不用重复编写报表了,例如:source="HFish_*.csv" sourcetype="csv"

检索蜜罐攻击日志,关键词:source="HFish_20220402.csv" sourcetype="csv"

  • syslog日志检索:

source="D:\\syslog\\syslog-honeypot-*.txt"

(2)对日志进行提取字段

攻击日志的内容比较原始,所以需要进行字段提取,拉到页面底栏,进行【提取新字段】如下所示:

 

 

 

由于我们的攻击日志是采用逗号(,)进行分隔每个字段的,所以采用【分隔符】进行提取字段。

 (3)查看已提取的字段

查看我们新建的字段,在【设置】-【字段】-【字段提取】

 在【应用】进行筛选,然后进行搜索:

可以看到字段

(4)删除索引

如果我们不再需要使用该数据来源,我们可以删除索引。

 


0x03.可视化报表

(1)新建日志报表


保存成功后,我们可以查看仪表板,如下所示:

 
(2)组合不同的报表

添加新的面板后,可能需要添加标题,最后通过拖拉仪表板的方式,组合成最终的报表。

(3)综合报表设置

如果我们需要再次查看我们的报表,可以进行如下操作


将我们刚刚新建的仪表板设置为主页的仪表板,如下所示:

 

(4)数据模型

由于以上展示的是一次性搜索的报表,故如果多次需要进行一模一样的数据搜索展示,自动更新到仪表板或者报表当中,这时候,我们可以选择修改数据集,如下所示:

 编辑数据集,可以实现类似的报表使用同一个视图,下次直接上传数据,报表会自动加载上传的数据到报表里面。

使用正则匹配多个数据来源。

此外,也可以通过修改数据模型的方式,进行修改达到多个相同的日志使用同一个报表或者仪表板的目标,如下所示:

0x04.参考

1.官方帮助中文文档

https://docs.splunk.com/Documentation/Splunk/latest/Translated/SimplifiedChinesemanuals

备注:splunk 提示:Requires license feature='Auth' 错误提示说明:由于我们采用的splunk的免费版本,所以有些功能是不能使用的,所以会提示:同时日志索引限制在500M,splunk平台只能创建管理员账号,无法创建其他账号。


2.Windows搭建syslog日志服务器

官方网站:https://www.kiwisyslog.com/kiwi-syslog-server

备注:必须设置来源IP,才可以接收日志;其他信息请阅读帮助文档。

3.linux搭建syslog服务器

Linux搭建syslog服务器相对容易,文档也比较多,毕竟Linux 往往自带syslog服务器。
参考文档:https://www.freebuf.com/articles/es/246659.html

4.非UTF-8格式导入到splunk后乱码解决办法

在某些情况下,我们从安全设备导出安全日志为csv格式,这种格式可能是以编码集-中文GB 2312 编码的,这种情况下直接导入splunk,会导致splunk无法识别其中的内容。所以需要进行格式转换。

参考方法:

方法1:格式转换

使用notepad ++等工具直接打开,选择【编码】 -【转为 UTF-8编码】,即可。

或者使用记事本等工具打开该csv文件,选择另存为,编码方式改成UTF-8,即可。

方法2:excel保存为utf-8

https://jingyan.baidu.com/article/6fb756ecc14e4e651958fb52.html

煜铭2011
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Splunk使用
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
06-23 1109
在Linux操作系统上使用Splunk
Splunk:大数据智能分析平台&全能日志分析利器
热门推荐
日志分析|大数据分析|Splunk大数据分析
09-22 1万+
Splunk是什么? 从功能上讲,Splunk是一款功能完善、强大的机器数据(MachineData)分析平台,涵盖机器数据收集、索引、搜索、监控、分析、可视化、告警等功能。之所以说是“平台”而不仅仅是工具,是因为Splunk经过多年的发展,功能十分强大且灵活,允许用户在其上自定义应用(App),目前其提供的官方和非官方应用多达数百个,且大多数均可以免费下载并使用;同时,Splunk还提供了强大
安全运维 -- splunk 操作手册
最新发布
leeezp的博客
04-30 3万+
日常运维操作笔记 (持续更新)
使用Splunk工具分析Windows日志和Apache日志
XYZCG的博客
10-30 726
Splunk是一款更能强大的、记录详细的日志分析软件,能处理常见的日志格式,比如Apache、Squid、系统日志、邮件日志等,可对所有日志先进行索引然后可以交叉查询,支持复杂的查询语句,最后通过直观的方式表现出来。将搜索条件改为最初条件,如下,对于导入的日志数据,可以对其进行导出,单击“导出”,在弹出的对话框中可对导出结果进行命名,格式可以选择CSV、原始事件、XML或者JSON,搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 3906
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
splunk 日志分析软件 简介
whatday的专栏
09-18 7075
目录 Splunk总体介绍 简介 Splunk是什么 Splunk做什么 Splunk如何做 应用场景 日志管理 为机器数据建立索引 搜索、关联、调查 钻取分析 监控&告警 报表和仪表盘 IT运维监控 IT运维监控视图 丰富的App和插件 安全和欺诈 安全神经中心 安全挑战 高级威胁检测 内部威胁 合规 欺诈与盗窃 用户行为分析 数据从哪儿来 数据源类型 文件和目录 网络事件 Windows数据源 其他数据源 数据提取 数据如何分...
splunk日志分析
allinallp的博客
06-09 4095
splunk日志分析splunk使用splunk配置日志字段提取日志分析场景已知ip,查看行为 splunk使用安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程中,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作中使用的一些思路。 splunk配置 打开splunk选择search&
Splunk作为日志分析平台与Ossec进行联动
dieman0446的博客
07-22 229
背景:   Ossec安装后用了一段时间的analogi作为ossec的报警信息显示平台,但是查看报警分类信息、 以及相关图标展示等方面总有那么一点点的差强人意,难以分析。因此使用逼格高一点的splunk作为 日志分析平台就变得很有必要了。 操作:  一、ossec服务端配置   (1)配置ossec数据转发至splunk监听端口     [root@localhos...
Splunk-7.3.0-SearchReference_zh-CN.pdf
09-10
这份文档旨在帮助用户理解和运用 SPL 进行日志分析和数据挖掘。以下是该文档中的关键知识点: 1. **SPL 语法**:SPL 是 Splunk 用于查询、处理和分析数据的语言。它包含了丰富的命令和函数,用于检索、过滤、聚合、...
maple:类型安全,名称和格式一致的结构化日志记录包装程序,适用于SLF4J,非常适合您的日志记录聚合
05-04
枫类型安全,名称和格式一致的SLF4J结构化日志记录包装器,非常适合您的日志记录聚合器。 log . info(schema - > schema . id(userId) . code( CODE_USER ) . qty(totalQty));快速开始定义日志记录模式接口包装 ...
SPLUNK大数据日志系统分析平台技术方案
06-21
SPLUNK大数据日志系统分析平台技术方案
Splunk安装和使用
02-24
Splunk是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据。从一个位置搜索并分析所有实时和历史数据。使用Splunking处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的
Splunk-官方操作指引文档中文版
03-03
Splunk-官方操作指引文档中文版
Go-轻量级和快速结构化和分级的日志
08-14
结构化日志是指以键值对或者JSON格式记录日志,使得日志信息更易于解析和分析。例如,可以包含时间戳、错误代码、调用堆栈等元数据。这种方式有利于自动化处理日志,比如通过工具进行日志搜索、过滤、聚合,从而...
pygogo:具有超能力的Python日志记录
01-30
这对于大数据分析日志聚合服务(如ELK stack或Splunk)和调试非常有用。 2. **命令行接口(CLI)友好**: 库特别优化了与命令行工具的集成,可以方便地通过命令行参数控制日志级别、格式和输出位置。这使得...
splunk 日志分析_日志管理工具面对面:Splunk与Logstash与Sumo Logic
danpob13624的博客
04-30 894
splunk 日志分析 领先的日志管理工具之间的主要权衡是什么,以及如何选择最适合您的工具? 我不了解您,但是对我来说,感觉就像日志文件是生产环境的产物。 你把目光移开了一秒钟,突然之间它们繁殖繁殖了 。 写入日志文件每天可能会占用GB的数据,所有数据都是非结构化的,并且可能来自多个计算机和源。 这就是日志管理工具的用武之地。当然,决定使用日志管理工具只是第一步。 接下来,您实际上必须决定...
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3575
2019独角兽企业重金招聘Python工程师标准>>> ...
Splunk 处理日志时间延迟
shenghuiping2001的专栏
04-08 619
Splunk日志延迟,如果是短时间延迟,可能是thruput 参数配置,如果是好几个小时,那就要考虑本文介绍的方法了。
splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz
09-21
splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz是一个Splunk软件的安装包,适用于64位的Linux操作系统。Splunk是一种实时数据分析和监控平台,被广泛用于处理和分析大型数据集。 Splunk使用一种称为索引的机制来存储和检索数据。它能够处理各种类型的数据,包括文本、日志、图片等。通过将数据索引,Splunk可以快速搜索和可视化数据,帮助用户发现隐藏在数据中的有价值的信息。 安装Splunk的第一步是下载安装包,这里的splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz就是Splunk的安装文件。".tgz"表示这是一个tar压缩文件,需要使用tar命令解压缩。 安装Splunk之前,我们首先要确保操作系统是64位的Linux。下载后,我们可以使用以下命令解压缩该文件: tar -zxvf splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz 解压缩后,会得到一个splunk文件夹,里面包含Splunk的所有文件。然后,我们可以运行Splunk的安装脚本来启动安装过程。 Splunk提供了一个图形化的安装向导,可以帮助用户完成安装步骤。在安装过程中,需要选择安装目录、许可证文件等配置选项。 安装完成后,我们可以使用以下命令启动Splunk: ./splunk start 然后,我们可以通过浏览器访问Splunk的Web界面,并使用相关的管理员用户名和密码登录。 总结来说,splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz是Splunk软件的安装包,用户可以通过解压缩、运行安装脚本等步骤来安装和启动Splunk,并使用该软件进行数据分析和监控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值