SIEM之基于Splunk的日志監控

0x0 概述

Splunk是什麼？

Splunk

是一個功能強大的機器資料分析平台，包括機器資料的收集、索引、搜尋、監控、可視化和告警等。另一方面來說，

Splunk

是一個時間序列索引器，因為

Splunk

索引資料的時候，是基于資料時間戳把資料拆分成事件。

Splunk

支援從任何IT裝置和應用（伺服器、路由交換、應用程式、資料庫等）收集日志，支援對日志進行高效搜尋、索引和可視化。可應用于：IT營運、安全合規、商業分析等。

Splunk功能概述

• 資料擷取：

  Splunk

  支援各種格式(如XML、JSON)和非結構化機器資料的擷取。
• 資料索引：

  Splunk

  會自動索引從各方擷取的資料，以便在各種條件下進行搜尋
• 資料搜尋：

  Splunk

  中的搜尋包括在儀表闆上建立名額或索引的模式。
• Dashboards：以透視表、圖表、報告等形式展示搜尋結果
• 告警：用于在分析資料中發現的某些異常活動時觸發郵件或其他方式的告警推送。
• Splunk 的三大元件：
  • Splunk 轉發器：用于收集日志的元件，将日志資料轉發給

    Splunk

    索引器進行處理和存儲。
  • Splunk 索引器：用來索引和存儲轉發器中的資料，将傳入的資料轉換為事件，并将其存儲在索引中，以便高效地執行搜尋操作。
  • Splunk 搜尋頭：用于與

    Splunk

    互動的元件。為使用者提供了一個圖形使用者界面來執行各種操作。使用者可以通過輸入搜尋詞來搜尋和查詢索引器中存儲的資料。

0x1 Splunk的安裝配置（以

Ubuntu

為例）

配置要求：

• Ubuntu 20.04 以上系統版本
• 4G或以上記憶體
• 2核或以上CPU

Splunk企業版下載下傳安裝

Splunk企業版提供試用安裝版，我們可以去官網下載下傳：

https://www.splunk.com/zh-hans_cn/software/splunk-enterprise.html      

建立一個帳号并選擇相應的版本進行下載下傳：

這裡我們選擇

.deb

版本。

然後在系統上安裝：

[email protected]:/tmp# dpkg -i splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb Selecting previously unselected package splunk.(Reading database ... 148598 files and directories currently installed.)Preparing to unpack splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb ...Unpacking splunk (8.2.2) ...      

安裝完成後，預設位于

/opt/splunk/

目錄：

初始化

Splunk

設定

[email protected]:/tmp# cd /opt/splunk/[email protected]:/opt/splunk# ./bin/splunk enable boot-startSPLUNK GENERAL TERMS      

按空格浏覽軟體協定，按

y

鍵同意協定内容。

按空格浏覽軟體協定，按

y

鍵同意協定内容。

然後建立

Splunk

管理者使用者和密碼：

啟動

splunk

服務：

[email protected]:/opt/splunk# systemctl start [email protected]:/opt/splunk#      

沒有報錯，說明啟動成功。現在可以在浏覽器中使用

http://serverip:8000

通路

Splunk

的

Web UI

輸入設定的使用者名和密碼登入到

Web UI

頁面：

至此，

Splunk

安裝已經完成，下一步就是添加資料

輸入設定的使用者名和密碼登入到

Web UI

頁面：

至此，

Splunk

安裝已經完成，下一步就是添加資料

輸入設定的使用者名和密碼登入到

Web UI

頁面：

至此，

Splunk

安裝已經完成，下一步就是添加資料

輸入設定的使用者名和密碼登入到

Web UI

頁面：

至此，

Splunk

安裝已經完成，下一步就是添加資料

輸入設定的使用者名和密碼登入到

Web UI

頁面：

至此，

Splunk

安裝已經完成，下一步就是添加資料

輸入設定的使用者名和密碼登入到

Web UI

頁面：

至此，

Splunk

安裝已經完成，下一步就是添加資料

輸入設定的使用者名和密碼登入到

Web UI

頁面：

至此，

Splunk

安裝已經完成，下一步就是添加資料

0x3 Splunk資料的擷取

點選

Web UI

中的“添加資料”，進入資料添加引導流程，

Splunk

提供多種添加資料的方式：

這裡我們要添加主機的日志檔案進行監控，是以選擇“監視-此Splunk平台執行個體上的檔案或端口”：

選擇“檔案和目錄”，點選右側的浏覽

選擇日志目錄，然後确定：

然後點選下一步：

輸入的一些設定，可以根據需求進行設定，如果沒有問題，就可以點“檢查”：

提示成功，點“開始搜尋”：

現在已經成功将資料添加到

Splunk

進行索引，可以根據需求搜尋和監控日志檔案了。

0x4 Splunk添加Windows日志監控

首先從

Splunk

上下載下傳通用轉發器：

https://www.splunk.com/zh-hans_cn/download.html      

根據需求進行下載下傳：

在

Windows主機上

安裝轉發器：

根據需求選擇要采集的資料：

根據提示填寫必要資訊，然後安裝

回到

Splunk

的

Web UI

界面，點選右側的“設定”-->“轉發和接收”：

新增一個接收設定：

配置接收端口，然後儲存：

回到搜尋中，就可以搜尋

Windows

的日志了：

0x5 Splunk添加儀表闆

在搜尋結果的右側點選“另存為”，可以建立儀表闆或者報表、告警。

根據需求填寫資訊和選項，然後點儲存：

這樣一個儀表闆就建立好了：

更多搜尋示例可以參考官方文檔：https://docs.splunk.com/Documentation/SCS/current/SearchReference/SearchCommandExamples

更多儀表闆的建立和說明可以參考官方文檔：https://docs.splunk.com/Documentation/Splunk/8.2.2/Viz/BuildandeditdashboardswithSimplifiedXML#Dashboard_examples

推薦閱讀

2020網絡安全行業全領域白皮書大全

2020年網絡安全應急響應分析報告

網絡安全人才發展淺談