Splunk 接入 Windows的DNS日志

最新推荐文章于 2024-06-28 11:53:51 发布
最新推荐文章于 2024-06-28 11:53:51 发布
阅读量952 收藏
点赞数
分类专栏: splunk 文章标签: splunk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42938493/article/details/118642420
版权
本文档详细介绍了如何在Windows Server 2012及更高版本上配置DNS日志接入Splunk的步骤,包括安装Splunk Universal Forwarder,部署Microsoft ADD-on,修改配置文件如inputs.conf和props.conf,以及解决可能遇到的错误。通过这些步骤,可以确保DNS日志被成功采集并解析。
摘要由CSDN通过智能技术生成
  • windows 的dns日志目前在 wins 08之前的版本接入会出错,我自己实际部署过 wins2012是成功的

建议使用最新的 micorsoft add-on (当前版本8.0以上)去接入dhcp,下载地址https://splunkbase.splunk.com/app/742/ 。 然后将此包解压放到windows服务器上。

  1. 先在windows服务器安装 splunk forwarder。安装过程如下
    在这里插入图片描述
    输入用户名密码,这个不重要。然后deployment server这里不填
    在这里插入图片描述
    indexer这里输入 splunk 服务器的地址
    在这里插入图片描述
  2. 将刚才解压完的add-on文件夹复制到 C:\Program Files\SplunkUniversalForwarder\etc\apps
    在这里插入图片描述
  3. 进入该文件夹 default目录 ,用写字板打开 inputs.conf
    在这里插入图片描述
    找到dns这一节
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/2021071023130454.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyOTM4NDkz,size_16,color_FFFFFF,t_7
    修改为
[MonitorNoHandle://C:\Windows\System32\Dns\dns.log]
sourcetype = dns
disabled = 0
index = dnslog

然后在C:\Program Files\SplunkUniversalForwarder\etc\system\local 下创建props.conf 文件

CHARSET = GB2312
NO_BINARY_CHECK = true
  1. 接下来在 C:\Program Files\SplunkUniversalForwarder\bin 目录下找到文件 SplunkMonitorNoHandleDrv.inf ,右键点击选择安装
    在这里插入图片描述
    5.重启splunk 服务
    在这里插入图片描述
  2. 测试,如果 C:\Program Files\SplunkUniversalForwarder\var\log\splunk\splunkd.log 文件如果出现以下 Error,则不会采集成功dns的日志
    在这里插入图片描述
  3. 假如没有的话,回到splunk上,搜索 index=dnslog 应该就可以看到dns的日志,并且有自动解析字段
丁佑强
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
splunk数据导入
01-05
文件和目录 从网络端口获得数据(UDP:514) 使用脚本(定期使用脚本来获得数据,将脚本放在$splunk_home\bin\scripts目录中) 使用模块输入 需要下载应用command modular input,安装好后在数据输入里面有“command”,用于新建模块。如c:\windows\system32\systeminfo.exe命令 使用通用转发器收集数据 在SUF服务器上安装SUF(splunk universal forwarder)。在SUF安装目录的bin目录下(如c:\program files\splunkuniversalforwarder\bin) 输入命令:splunk start 打开SUF,接受许可证协议 splunk enable boot-start 这是linux下的命令,就是让它开机自动运行,windows自行处理 splunk add forward-server :9997 –auth : 设置索引器的值(即splunk服务器,host),SUF的用户名和密码。9997是端口值 在索引服务器上(splunk服务器)上,设置—转发和接收---配置接收---新增—输入端口值9997 加载样本数据 sp1文件,管理应用—从文件安装应用 在数据输入---脚本,将其激活 在数据输入---文件和目录,将其激活
TA-pihole_dns:Pihole DNS服务器的Splunk附件
02-13
TA-pihole_dns-Splunk的Pi-hole插件 信息 描述 版本 在上 供应商产品版本 加载项具有Web UI 是的,此附加组件包含模块化输入的配置页面。 Pi-hole插件使Splunk数据管理员可以将Pi-Hole:registered:DNS服务器事件...
如何用Splunk建立可疑DNS报警系统
weixin_34319640的博客
07-05 602
题外话:当了很久的潜水员和伸手党,实在觉得有愧于心,但又拿不出太好的东西。想了很久,发现Freebuf中甚少提到Splunk大数据分析的应用,在此抛砖引玉,拿一些自己的东西出来给大家参考,希望能给予大家一点启发。 Splunk是一个可运行于各种平台的 IT 数据分析、日志分析、业务数据分析软件,支持的操作系统包含Windows,Linux, Solari...
【安全工具】DNSlog工具原理搭建及使用(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
06-28 2529
比如说,我注册了一个为luomiweixiong.com的域名,我将 它的a记录泛解析到139.x.x.x上,这样就实现了无论我记录值填什么他都有解析,并且都指向139.x.x.x,当我向dns服务器发起test.luomiweixiong.com的解析请求时,DNSlog中会记录下他给test.luomiweixiong.com解析,解析值为139.x.x.x.网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
使用Splunk工具分析Windows日志和Apache日志
XYZCG的博客
10-30 769
Splunk是一款更能强大的、记录详细的日志分析软件,能处理常见的日志格式,比如Apache、Squid、系统日志、邮件日志等,可对所有日志先进行索引然后可以交叉查询,支持复杂的查询语句,最后通过直观的方式表现出来。将搜索条件改为最初条件,如下,对于导入的日志数据,可以对其进行导出,单击“导出”,在弹出的对话框中可对导出结果进行命名,格式可以选择CSV、原始事件、XML或者JSON,搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。
Splunk通过WMI远程读取Windows主机日志
baobaoyu_的博客
05-27 1621
Splunk通过WMI远程读取Windows主机日志 在开始之前首先要保证,安装Splunk Enterprise的主机是管理员组成员,要进行远程监控的主机是所属管理的域用户。以下操作为在安装Splunk的主机上进行。 Winodws主机上的WMI权限设置 (1)更改用户COM安全权限 在搜索菜单中,输入dcomcnfg.exe运行 更改访问权限:Component Service->Computers->My Computer->Properties->COM Security-
splunk采集linux日志,splunk日志监控利器
weixin_29577845的博客
05-11 448
日志处理引擎SPLUNKSplunk分为免费Free版和企业Enterprise版。SplunkFree专供个人使用。SplunkEnterprise添加了支持多用户和分布式部署的功能,并包括警报、基于角色的安全、单一登录、预设的PDF交付以及对无限数据量的支持。你可以使用浏览器访问http://zh-hans.splunk.com/download下载最新版的Splunk。如果你是第一次访问Sp...
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 4013
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
splunk-8.2.0-Windows&Linux.rar
05-31
它支持多种协议如TCP、UDP、HTTP等,可以自动发现和接入数据源。 - **数据索引**:接收到的数据会被索引,便于快速检索。Splunk使用高效的索引技术,允许用户在海量数据中快速找到所需信息。 - **实时分析**:...
windows splunk enterprise 7.0.0 x64 crack
05-05
Collect and Index Data Search and Investigate Correlate and Analyze Visualize and Report Monitor and Alert Access from Anywhere
Splunk日志分析
11-01
### Splunk日志分析 #### 日志分析工具:Splunk **Splunk**是一款功能强大的企业级日志分析工具,能够收集、索引并搜索来自各种不同来源的日志数据,帮助用户快速发现问题根源,实现对业务流程的有效监控与管理。...
splparser:用Python编写的Splunk处理语言(SPL)的简单解析器
05-15
该项目为Python中的Splunk处理语言(SPL)提供了一个简单的解析器。 它输出SPL查询的解析树。 它不一定要用作编译器的一部分。 它能够解析最常见的大约132个SPL命令中的66个。 拉请求欢迎。 联络人:Sara Alspaugh
windows_dns_讲解与详细配置
03-02
windows_dns_讲解与详细配置
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
splunk最新版windows安装包,splunk-8.2.3.2-5281ae34c90c-x64-release.msi
01-06
splunk最新版windows安装包,下载后,一直点击下一步即可安装成功!
splunk高效分析安全设备日志
llmmkc123的博客
07-08 1729
spunk分析安全设备日志
DNS服务器的访问日志
weixin_46356409的博客
11-16 1789
DNS服务器的访问日志的目录位置取决于具体使用的DNS服务器软件和操作系统。如果您使用的是其他DNS服务器,请参阅相应的文档以获取正确的配置信息。要配置DNS服务器访问日志,您需要编辑DNS服务器的配置文件。BIND DNS服务器的访问日志记录了DNS服务器处理的每个查询请求。文件中记录DNS服务器的访问日志。您可以根据需要调整日志文件的路径、版本数量和大小。只记录error日志,没有访问日志,定位不到具体访问DNS服务器的主机。文件中记录DNS服务器的访问日志。文件中记录DNS服务器的访问日志
splunk 日志分析_充分利用Splunk:10倍的数据丰富您的日志
danpob13624的博客
05-03 407
splunk 日志分析 访问除日志文件之外的新计算机净数据,以丰富您的Splunk实例并真正了解应用程序的运行状况 您肯定听说过Splunk,甚至可能在公司中使用它。 它是一个功能强大的数据聚合器,可帮助简化开发人员和操作人员团队的机器数据,使他们可以在可搜索的存储库中捕获,索引和关联实时数据。 但是,他们访问的大多数数据来自日志文件。 日志文件只能包含有限的变量,因此只能提供有限...
windows服务器网站日志文件,使用nxlog收集windows服务器dns日志
weixin_36370851的博客
08-10 2136
背景本地使用windows server 2016搭建的dns服务器,现在需求把dns日志传到日志收集平台做汇总分析步骤1.搭建dns服务器,及配置日志dns服务器搭建过程省略,配置本地存储日志如图所示:按需开启调试日志,文件路径要写好,后面会用。2.测试日志是否在本地产生3.安装nxlogwindows 下安装nxlog,配置文件在nxlog/conf/nxlog.conf.启动过程中,日志在...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值