Splunk使用记录

Posted 2022-04-04 煜铭2011

1、添加数据

(1)攻击日志

此处我们采用已搭建的蜜罐系统的攻击日志（上钩列表）为数据源，导出攻击日志数据。

  备注：普遍的形式是：安全设备通过syslog把日志发送到服务器。如下为举例。

 

(2)导入数据

此处，我们通过【上载来自我的计算机的文件】的方式导入数据，如下所示：

 

 

2、检索数据

 (1)对日志进行检索

检索蜜罐攻击日志，关键词：source="HFish_20220402.csv" sourcetype="csv"

(2)对日志进行提取字段

攻击日志的内容比较原始，所以需要进行字段提取，拉到页面底栏，进行【提取新字段】如下所示：

 

 

 

由于我们的攻击日志是采用逗号（,）进行分隔每个字段的，所以采用【分隔符】进行提取字段。

 (3)查看已提取的字段

查看我们新建的字段，在【设置】-【字段】-【字段提取】

 在【应用】进行筛选，然后进行搜索：

可以看到字段

3.可视化报表

(1)新建日志报表

保存成功后，我们可以查看仪表板，如下所示：

 
(2)组合不同的报表

添加新的面板后，可能需要添加标题，最后通过拖拉仪表板的方式，组合成最终的报表。

(3)综合报表设置

如果我们需要再次查看我们的报表，可以进行如下操作

将我们刚刚新建的仪表板设置为主页的仪表板，如下所示：

 

 
4.参考

1.官方帮助中文文档

https://docs.splunk.com/Documentation/Splunk/latest/Translated/SimplifiedChinesemanuals

备注：splunk 提示：Requires license feature='Auth' 错误提示说明：由于我们采用的splunk的免费版本，所以有些功能是不能使用的，所以会提示：同时日志索引限制在500M，splunk平台只能创建管理员账号，无法创建其他账号。

2.Windows搭建syslog日志服务器

官方网站：https://www.kiwisyslog.com/kiwi-syslog-server

备注：必须设置来源IP，才可以接收日志；其他信息请阅读帮助文档。

3.linux搭建syslog服务器

Linux搭建syslog服务器相对容易，文档也比较多，毕竟Linux 往往自带syslog服务器。
参考文档：https://www.freebuf.com/articles/es/246659.html