Splunk是一款数据分析系统(分为社区版和商业版两种),它在快速collect、search、分析、实时获取数据方面的能力较为突出,效率高,能够处理PB级数据,并且它支持对数据源进行实时监控。支持自定义过滤规则。Splunk除了功能强大,在本地化方面也做得非常不错,通过用户图形界面进行各种统计分析操作,能够对数据进行可视化展示,形象直观。
本实验中利用Splunk来分析本地上传Snort的警报日志文件(社区版最大上传文件500MB) alert.id(有的系统是fast.log文件)。Splunk 9不但能分析alert.ids日志文件,而且能分析snort.log.xxxxxxxx这类Unified2格式的二进制文件(v9以前的版本不具备此项功能)。在进行下面实验之前,我们首先在splunk.com注册账户,以便下载插件。
一、安装Splunk 9
我们在Windows 10 系统中安装Splunk 9,无论将Splunk安装到哪个分区,要构建一个基本的实验环境,首先确保磁盘可用空间不小于50GB,然后就要设置Web访问用户名和密码,如图1所示。
图1 设置Splunk访问密码
该软件其他安装界面,大家根据系统提示逐步操作即可,本文不再赘述。
二、安装日志解析插件
Splunk 9可以解析Snort产生的文本格式报警和Unified2格式的报警,下面我们分别添加两种插件,并分别上传文本格式和Unified2格式的报警数据,分为以下四步完成。
步骤1:添加Alert 插件
打开浏览器,在地址栏输入网址: http://127.0.0.1:8000,显示界面,如图2所示。
图2 Splunk登录界面
登录系统之后,
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
