【入门第3课】Splunk字段提取

原创 已于 2024-10-12 18:08:16 修改 · 1.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SIEM #Splunk #安全分析 #网络安全 #网络

于 2024-10-12 18:07:08 首次发布

前言

Splunk 是一款功能强大的搜索和分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。

当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段不同,Splunk可以通过用户自定义从原始数据中动态提取字段。

一、字段提取器

1.1 访问字段提取器

执行事件搜索,左边栏往下,单击提取新字段,进入字段提取器。

1.2 选择示例

在事件列表中,选择一个需要进行字段提取的示例事件。

1.3 选择方法

提供了两种字段提取的方法:正则表达式分隔符。正则表达式主要用于非结构化数据;而基于表格的结构化数据,使用分隔符即可。

1.4 选择字段

选择需要字段提取的值,下面会出现对话框,对字段名称进行命名。一般我们也可手动编辑正则表达式进行调整。

1.5 验证

通过预览,以确认事件列表的匹配程序,从下图看到,第一次的选择字段还是有部分字段无法识别,那么我们可以进行第二次的字段提取

1.6 保存

在这一步,可以对提取名称和权限进行设置,点击完成来保存提取。

然后可以获取正则表达式

^\w+\s+\w+\s+\d+\s+\d+\s+\d+:\d+:\d+\s+\w+\d+\s+\w+\[\d+\]:\s+\w+\s+\w+\s+\w+\s+\w+\s+\w+\s+(?P<user>\w+) from (?P<ip>[^ ]+)

1.7 提取字段的例子

了解一下Linux secure日志中比较常见的登录日志,如下两条登录记录作为示例:

#失败登录
Thu Nov 05 2023 13:02:24 mailsv1 sshd[5276]: Failed password for invalid user appserver from 194.8.74.23 port 3351 ssh2
#成功登录
Thu Nov 05 2023 13:02:24 mailsv1 sshd[74181]: Accepted password for nsharpe from 10.2.10.163 port 4245 ssh2
#invalid user 登录
Thu Nov 05 2023 13:02:24 mailsv1 sshd[5276]: Failed password for invalid user appserver from 194.8.74.23 port 3351 ssh2

先做第一次的字段提取工作,我们针对1、2条进行提取,基本上他们的格式一致,提取后我们进行保存

但是“invalid user”则不能成功识别,需要针对它进行第二次的提取工作,都是提取相同的字段,保存

最后完成提取的结果如下:关于用户账号登录成功/失败的日志字段均能成功识别

最后可以在search上面验证一个字段识别的情况。

二 新字段提取

在Splunk Web中,提供了一种快速设置字段提取的方式,只需提供正则表达式,就可以直接完成新字段提取

2.1 新字段提取

(1)设置→ 字段提取→新字段提取

设置名称、sourcetype,写入正则表达式,点击保存即可。

2.2 查看字段提取规则

在字段提取页面中,搜索关键词,可找到刚才设置的字段提取规则。

三、使用搜索命令提取字段

通过搜索命令以不同方式提取字段,如rex、extract、xpath等。但这种方式仅适用于搜索过程中的返回的中间结果,无法新建字段重复使用。

sourcetype="secure-2" port  "failed password"
| rex field=_raw "(?P<user>\w+)\sfrom\s(?P<ip>[^ ]+)"
| table user,ip

Splunk查询详细教程:从入门到进阶
weixin_30777913的博客
10-17 393
Splunk是一款强大的机器数据分析和可视化平台,其核心功能是通过**搜索处理语言(SPL, Search Processing Language)**对日志、指标等非结构化/半结构化数据进行快速检索、过滤、聚合和分析。本教程将从基础语法到高级技巧,逐步讲解Splunk查询的核心内容。Splunk查询的核心是通过SPL对数据进行“过滤→处理→聚合→展示”的流水线操作。掌握基础语法(字段过滤、逻辑组合)、核心命令(statstimecharteval)以及时间范围控制,即可解决大部分日志分析需求。
入门第4Splunk搜索分析
rm -rf /*
10-14 1280
Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux secure日志分析作为示例,进行安全场景的构建。
splunk入门教程
03-29
splunk入门教程,资源监控部署步骤,linux环境与windows环境
Splunk工具学习(下载、安装、简单使用、核心概念)
热门推荐
关注网络安全、云原生安全
03-24 1万+
目录什么是Splunk?介绍Splunk的应用场景Splunk架构Splunk下载与安装docker安装(推荐)手动安装Splunk简单使用登录搜索参考 什么是Splunk? 介绍 splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大
splunk搜索教程(中文)
09-01
教程将告诉您在开始使⽤ Splunk 之前您需要知道些什么,内容包括⾸次下载、如何创建丰富的交互式仪表盘等。本教程包括⼀个样本数据集,该数据集由虚构网上商店的 Web 服务器和 MySQL ⽇志组成。请按照详细说明将此数据添加到您的 Splunk 实例中。
一、splunk入门
weixin_43374578的博客
10-25 7703
一、简介 1. Machine Data 一般公司中,机器数据占了大概90%以上,包含如应用数据,监控数据,脚本数据等; 机器数据的数据结构各种各样; 处理数据繁琐且难度大,因此引入工具来提升数据分析效率; 2. Splunk 用来处理数据的,主要包含5个功能 2.1 Index Data 将所有数据进行处理,索引,将数据包装成一个个的event,并存储在指定的位置中; 在检索的时候,通过输入的检索条件,从指定的位置中去读取数据; 2.2 Search & Investigate 在搜
Splunk系列:Splunk字段提取篇(三)
03-03 2056
一、简单概述Splunk 是一款功能强大的搜索和分析引擎,而字段splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段...
利用Splunk9.x进行大数据分析入门
### 利用 Splunk 9.x 进行大数据分析入门 在当今数字化时代,数据的规模和复杂性呈爆炸式增长,如何有效地处理和分析这些数据成为了众多企业和组织面临的挑战。Splunk 作为一款强大的大数据工具,为解决这些问题...
Splunk搜索命令速成35个命令助你成为日志分析专家
![Splunk搜索命令速成...首先介绍了基础搜索命令和字段提取的基本操作,包括搜索时间范围设定、事件计数、自动与手动字段提取等。接着,文章转向高级搜索技巧,包括条件搜索、模式匹配、数据聚合与可视化,以及搜索性
Splunk搜索效率提升:35个技巧与窍门实用指南
随后,论文深入探讨了Splunk搜索语言的核心元素,包括基本命令、高级语法、字段提取使用,以及时间管理和数据选择的最佳实践。第三章重点阐述了提高搜索效率的技巧,如搜索语句优化、结果分析、会话管理等。第四章...
零基础学Splunk:从安装到数据分析的全面教程
![零基础学Splunk:从安装到数据分析的全面教程]...接着,对Splunk的搜索语法、字段管理和数据模型进行了深入分析,使得用户能够有效地进行数据搜索和字段提取。然
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
splunk快速入门教程
12-12
splunk快速入门教程
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
splunk使用教程.pptx
06-02
splunk导入数据、建索引、查询字段相关教程,描述了默认时间字段、事件 如何修改及设置。教程比较简单,教你如何使用splunk,最终查询自己需要的字段,并生成曲线图。
Splunk日志分析
11-01
日志分析工具,splunk
日志收集以及分析:Splunk
weixin_34289454的博客
01-08 2267
转自:http://blog.163.com/guaiguai_family/blog/static/20078414520132181010189/ 写代码的人都知道日志很重要,机器不多的时候,查看日志很简单,ssh 上去 grep + awk + perl 啥的 ad hoc 的搞几把就行,但面对上百台甚至上千台机器时,如何有效的收集和分析日志就成了个很头疼的事情。日志处理必然有如下过程: ...
使用Splunk工具分析Windows日志和Apache日志
XYZCG的博客
10-30 1576
Splunk是一款更能强大的、记录详细的日志分析软件,能处理常见的日志格式,比如Apache、Squid、系统日志、邮件日志等,可对所有日志先进行索引然后可以交叉查询,支持复杂的查询语句,最后通过直观的方式表现出来。将搜索条件改为最初条件,如下,对于导入的日志数据,可以对其进行导出,单击“导出”,在弹出的对话框中可对导出结果进行命名,格式可以选择CSV、原始事件、XML或者JSON,搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。
splunk与日志分析
allinallp的博客
06-09 5336
splunk与日志分析splunk使用splunk配置日志字段提取日志分析场景已知ip,查看行为 splunk使用 在安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程中,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作中使用的一些思路。 splunk配置 打开splunk选择search&
splunk字段提取中通过正则表达获取想要字段,如何操作
最新发布
06-19
<think>我们正在讨论Splunk中的正则表达式字段提取。根据引用,特别是引用[1]和引用[2],我们知道在Splunk中可以使用`rex`命令通过正则表达式提取字段。基本语法是:`rex[field=<field>](<regex-expression>[max_match=<int>][offset_field=<string>])`或者使用sed模式:`rex(mode=sed<sed-expression>)`目标:从事件数据中提取字段。例如,从原始事件(_raw)中提取用户名和IP地址(如引用[2]的例子):sourcetype="secure-2"port"failedpassword"|rexfield=_raw"(?P<user>\w+)\sfrom\s(?P<ip>[^]+)"|tableuser,ip另一个例子(引用[3]):从包含URL的字段提取IP地址:source="xxx.csv"|rexfield=input"http://(?<ip>\d+\.\d+\.\d+\.\d+)"|fieldsip|statscountbyip引用[4]展示了更复杂的场景,使用了多个`rex`命令和`max_match=0`(表示匹配所有出现)来提取多个字段。它还提到处理字段值中包含双引号等特殊情况。因此,步骤总结如下:1.确定要从中提取字段的原始字段(通常是`_raw`,也可以是其他字段使用`field`参数指定)。2.编写正则表达式,使用命名捕获组(`?P<字段名>正则表达式`)来定义要提取字段3.可选参数:`max_match`指定最大匹配次数(0表示所有匹配),`offset_field`指定存储匹配位置偏移量的字段。4.如果需要对字段内容进行替换,可以使用`mode=sed`的模式。注意:这种方式提取字段仅存在于当前搜索中,不会永久保存。如果需要重复使用,可能需要配置字段提取(通过配置文件或界面)。现在,根据用户的问题“如何在Splunk中通过正则表达式提取字段”,我们给出清晰的步骤和示例。同时,生成相关问题。</think>### 如何在 Splunk使用正则表达式提取字段Splunk 中,通过 `rex` 命令使用正则表达式提取字段的操作流程如下: #### **1. 基础语法** ```sql rex [field=<源字段>] "<正则表达式>" [max_match=<匹配次数>] ``` - **`field`**:指定源字段(默认 `_raw`) - **正则表达式**:必须包含命名捕获组 `(?P<字段名>规则)` - **`max_match`**:匹配次数(0=所有匹配,默认1次) - **`offset_field`**:存储匹配位置的字段(可选) #### **2. 操作步骤** **步骤1:确定数据源** ```sql sourcetype="secure_logs" // 指定日志类型 ``` **步骤2:编写正则表达式** ▸ 提取用户名和IP(引用[2]示例): ```sql | rex "\(?P<user>\w+)\sfrom\s\(?P<ip>[^ ]+)" ``` ▸ 提取URL中的IP(引用[3]示例): ```sql | rex field=url "http://\(?P<ip>\d+\.\d+\.\d+\.\d+)" ``` **步骤3:处理复杂场景** ▸ 多字段提取(引用[4]示例): ```sql | rex max_match=0 "FIELD_A=\"\(?P<FIELD_A>[^\,]*)\"" | rex max_match=0 "FIELD_B=\"\(?P<FIELD_B>[^\,]*)\"" ``` ▸ 特殊字符处理: 当字段值含双引号时,通过相邻字段辅助定位(如引用[4]中的`FIELD_C`) **步骤4:结果展示** ```sql | table user, ip // 表格化展示提取字段 | stats count by ip // 统计IP出现次数 ``` #### **3. 注意事项** - **临时性**:`rex` 提取字段仅当前搜索有效(引用[2]) - **性能优化**: - 使用 `max_match=0` 匹配所有结果(引用[4]) - 避免过于复杂的正则表达式 - **特殊模式**: `mode=sed` 支持替换操作(引用[1]),如: ```sql | rex mode=sed "s/old_text/new_text/g" ``` #### **4. 完整示例** ```sql sourcetype="web_access" | rex "GET\shttp://\(?P<server_ip>\d+\.\d+\.\d+\.\d+)/" | stats count by server_ip ``` > 此查询从 web 访问日志中提取服务器 IP 并统计访问量 #### **5. 常见问题解决** - **匹配失败**:检查正则是否覆盖数据中的空格/特殊符号 - **部分字段缺失**:确认 `max_match` 是否覆盖所有匹配项 - **值截断**:使用 `[^\,]*` 避免逗号干扰(引用[4])
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我只会Traceroute

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值