【入门第4课】Splunk搜索分析

最新推荐文章于 2025-05-26 13:23:19 发布
原创 最新推荐文章于 2025-05-26 13:23:19 发布 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #SIEM #Splunk #网络安全 #安全威胁分析

前言

Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。
它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。
这里,我们以Linux secure日志分析作为示例,进行安全场景的构建。

一、安全日志


先来了解一下Linux secure日志中比较常见的登录日志,如下两条登录记录作为示例:
通过对比,我们可以找到几个关键信息,比如登录动作(成功/失败),用户名、ip地址等,可以通过编辑正则表达式将关键字段提取出来,以便进行搜索和分析。
新增字段提取:


二、安全分析场景

2.1 用户暴力破解


场景描述:用户账户在短时间内尝试大量的错误密码,即可视为用户暴力破解攻击。
安全策略:单一账号,5分钟内超过20次登录失败

sourcetype="secure-2" action=Failed 
| bucket _time span=5m 
| stats count by user,ip 
| search count>20

image.png


2.2 爆破用户名最多的前10个用户名/ip地址


场景描述:获取暴力破解所使用

最低0.47元/天 解锁文章

200万优质内容无限畅学
入门第2Splunk数据接入
rm -rf /*
06-27 1195
Splunk支持多种多样的数据源,比如它可以直接上传文件,可以监控本地的任何目录或文件,也可以配置通用转发器等方式来完成数据接入。Splunk所有的设置都可以通过Web页面、使用Splunk CLI命令,甚至是直接修改配置文件,以此来完成设置。那么,如何接入数据呢?我们通过两个比较常见的数据接入场景做个应用示例吧。Splunk的教学测试数据 :tutorialdata.zip收集syslog 日志 :Linux使用通用转发器(Agent)收集数据:Windows。
入门第1Splunk安装配置和基础运维
最新发布
rm -rf /*
06-27 2992
Splunk 社区 ,包括白皮书,各类手册,资源下载,社区问答等Splunk 入门指南 | Splunk数据可视化工具Splunk Enterprise免费下载 | Splunk
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用过 Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
Splunk:洞察机器生成数据的平台
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
05-26 862
Splunk Inc. 是一家成立于 2003 年、总部位于美国旧金山的软件公司,专注于机器生成数据(machine-generated data)的收集、索引、搜索和可视化(Wikipedia) Splunk 这个名称源自spelunking(洞穴探险),意指对信息洞穴的探索与挖掘,这一概念寓意通过 Splunk 工具对海量日志和机器数据进行深入挖掘(Splunk
入门第3Splunk字段提取
rm -rf /*
10-12 926
Splunk 是一款功能强大的搜索分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段不同,Splunk可以通过用户自定义从原始数据中动态提取字段。
splunk入门教程
03-29
splunk入门教程,资源监控部署步骤,linux环境与windows环境
Splunk工具学习(下载、安装、简单使用、核心概念)
关注网络安全、云原生安全
03-24 1万+
目录什么是Splunk?介绍Splunk的应用场景Splunk架构Splunk下载与安装docker安装(推荐)手动安装Splunk简单使用登录搜索参考 什么是Splunk? 介绍 splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大
splunk搜索教程(中文)
09-01
本教程将告诉您在开始使⽤ Splunk 之前您需要知道些什么,内容包括⾸次下载、如何创建丰富的交互式仪表盘等。本教程包括⼀个样本数据集,该数据集由虚构网上商店的 Web 服务器和 MySQL ⽇志组成。请按照详细说明将此数据添加到您的 Splunk 实例中。
一、splunk入门
weixin_43374578的博客
10-25 7501
一、简介 1. Machine Data 一般公司中,机器数据占了大概90%以上,包含如应用数据,监控数据,脚本数据等; 机器数据的数据结构各种各样; 处理数据繁琐且难度大,因此引入工具来提升数据分析效率; 2. Splunk 用来处理数据的,主要包含5个功能 2.1 Index Data 将所有数据进行处理,索引,将数据包装成一个个的event,并存储在指定的位置中; 在检索的时候,通过输入的检索条件,从指定的位置中去读取数据; 2.2 Search & Investigate 在搜
splunk快速入门教程
12-12
splunk快速入门教程
splunk使用教程.pptx
06-02
splunk导入数据、建索引、查询字段相关教程,描述了默认时间字段、事件 如何修改及设置。教程比较简单,教你如何使用splunk,最终查询自己需要的字段,并生成曲线图。
Splunk查询官方教程_中文
09-02
包含Splunk的官方教程,适用于一般以及高级使用者。全方位解析查询使用。
splunk 中文教程
03-20
splunk 5.0 中文教程,中文安装手册
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3886
2019独角兽企业重金招聘Python工程师标准>>> ...
Splunk 7.3.0 搜索教程入门指南
教程内容涵盖从入门到高级搜索技巧,包括上传教程数据、使用Splunk搜索应用、丰富事件信息、创建报表和图表,以及构建仪表板等步骤。" 本文档主要介绍了以下几个方面的知识点: 1. **入门**: - 入门前提条件:...
Splunk入门体验
oMaFei的博客
11-22 1416
放一段介绍, Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。 ​ 它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成的数据,以识别和解决...
数据分析之字段抽取
bj_109的博客
12-10 1147
字段抽取常用slice(start, stop)函数,比如我有下面的一串数据: 想将前三位,中间四位和后面四位抽取出来。首先我要把他们都转化成字符串形式 data['tel'] = data['tel'].astype('str') 再用如下代码进行字段的抽取: data['1'] = data['tel'].str.slice(0, 3) data['2'] = data['tel'].st...
安全运维 -- splunk 操作手册
热门推荐
leeezp的博客
04-30 3万+
日常运维操作笔记 (持续更新)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我只会Traceroute

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值