Splunk安全运营实践
Splunk 是一个数据平台,支持企业可观察性、统一安全性以及混合环境中无限的自定义应用程序。Splunk 是网络安全行业最受欢迎的安全解决方案之一,可以实时采集主机日志聚合分析提高安全运营的效率。
安装Splunk
下载链接:https://www.splunk.com/en_us/download/splunk-enterprise.html
需要用企业邮箱在splunk官网注册一个账号进行下载。
dpkg -i splunk-9.3.0-51ccf43db5bd-linux-2.6-amd64.deb
安装完成后splunk默认的目录为 /opt/splunk/ ,然后启动splunk。
/opt/splunk/bin/splunk start --accept-license
启动后访问http://127.0.0.1:8000,看到登录界面就算安装完成了。
客户端安装splunk通用转发器
上面我是在Linux的主机上安装的Splunk服务端,但是我们需要采集Windows主机的日志,就需要在客户端上安装splunk通用转发器。
在官网下载Windows的msi进行安装。
填写splunk服务端的ip端口即可安装。
这一步填写splunk服务端接收数据的端口,虽然这个时候splunk我们还没有开启9997端口,但是不影响客户端的配置。
win+R 打开services.msc。
确认splunk forwarder正在运行即可。
在splunk服务端查看客户端是否在线。
将数据添加到Splunk
从转发器添加数据
选择需要放置日志的索引。
单击“创建新索引”,我这里创建一个名为“WinLog_clients”的新索引。
点击审核,检查无误后即可提交。
检查当前索引
添加接收者
进入设置 > 转发和接收,点击添加新接收。
添加9997端口(这是默认的,记住它在前面的文档中)。等待几分钟后再次检查索引,将看到新的值。
尝试快速搜索,就能看到Windows端的事件日志了。
手动上传日志添加数据
检查 Splunk 如何读取你的文件,如果一切正常,按下一步如果需要,选择一个主机字段值,以及将要使用的索引(建议保留默认值)继续到最后,并开始搜索。
安装splunk插件
上面手动上传了sysmon的evtx日志,但是splunk默认是无法解析的,需要在splunk的应用中手动添加sysmon的解析插件。
在 Splunk 上搜索
- 字段名称区分大小写
- 字段值不区分大小写
- 可以使用通配符(使用 *)
- 可以使用 AND、OR、NOT 等运算符
可以在搜索栏使用通配符(“*”)和运算符,也可以混合使用它们。
生成splunk报表
报表就是保存的搜索结果。报告可以按计划执行,也可以在需要时执行。比如查找包含管理员的帐户登录失败的日志记录。
查看我们刚生成的报表,实际就是导出的搜索结果。
我们还可以配置报表每天早上 8 点发送,以便得知昨天的连接失败。
还可以配置为通过电子邮件发送。
配置Splunk 告警
告警是已保存的搜索结果,在满足某些条件时触发,警报可以按计划或实时触发。在这种情况下,请注意不要让 Splunk 服务器过载。
只需要在另存为时选择告警即可。
补充
修改配置转发文件
如果在第一次安装Splunk Universal Forwarder时没有配置转发端口9997,之后可以按照以下步骤进行配置:
打开Splunk Universal Forwarder的配置文件:在Windows上,配置文件通常位于 C:\Program Files\SplunkUniversalForwarder\etc\system\local 目录下。编辑 outputs.conf 文件(如果文件不存在,你可以创建一个)。
配置outputs.conf文件:打开或创建 outputs.conf 文件,并添加以下配置:
[tcpout] defaultGroup = splunk_indexers [tcpout:splunk_indexers] server = <Splunk_Services_Server>:9997
这里 <Splunk_Services_Server> 是你Splunk服务端的主机名或IP地址。
然后重启Splunk Universal Forwarder以使配置生效。在Windows上,可以通过“服务”面板找到 SplunkForwarder 服务并选择重启。
重启splunk
在Windows上重启Splunk
"C:\Program Files\SplunkUniversalForwarder\bin\splunk" restart
在Linux上重启Splunk:
sudo /opt/splunk/bin/splunk restart赞赏
微信赞赏
支付宝赞赏
发表评论