作者:WXi0x0概述什么是Splunk?Splunk是一个强大的机器数据分析平台,包括机器数据收集、索引、搜索、监控、可视化和警报。另一方面,Splunk是一个时间序列索引器,因为当Splunk索引数据时,它会根据数据时间戳将数据拆分为事件。Splunk支持从任何IT设备和应用程序(服务器、路由交换机、应用程序、数据库等)收集日志,支持日志的高效搜索、索引和可视化。可应用于:IT运营、安全合规、业务分析等。Splunk功能概述数据采集:Splunk支持摄取各种格式(如XML、JSON)和非结构化机器数据。数据索引:Splunk自动索引从各方获取的数据,以便在各种条件下进行搜索数据搜索:Splunk中的搜索包括在仪表板上创建指标或索引模式。仪表板:以数据透视表、图表、报告等形式显示搜索结果。警报:用于在分析数据中发现某些异常活动时触发电子邮件或其他警报推送。Splunk的三大组件:Splunkforwarder:用于收集日志,并将日志数据转发给SplunkIndexer进行处理和存储的组件。Splunk索引器:用于在转发器中索引和存储数据,将传入的数据转换为事件,并将它们存储在索引中以高效地执行搜索操作。Splunk搜索头:用于与Splunk交互的组件。为用户提供图形用户界面以进行各种操作。用户可以通过输入搜索词来搜索和查询存储在索引器中的数据。0x1Splunk安装配置(以Ubuntu为例)配置要求:Ubuntu20.04以上系统版本4G以上内存2核以上CPUSplunk企业版下载安装Splunk企业版提供试用安装版,大家可以去官网下载:https://www.splunk.com/zh-hans_cn/software/splunk-enterprise.html创建账号选择对应版本下载:这里我们选择.deb版本。然后在系统上安装:root@osboxes:/tmp#dpkg-isplunk-8.2.2-87344edfcdb4-linux-2.6-amd64.debSelectingpreviouslyunselectedpackagesplunk.(Readingdatabase...148598filesanddirectoriescurrentlyinstalled.)准备解压splunk-8.2.2-87344edfcdb4-linux-2.6-amd64.deb...解压splunk(8.2.2)...安装完成后默认位于/opt/splunk/目录:初始化Splunk并设置root@osboxes:/tmp#cd/opt/splunk/root@osboxes:/opt/splunk#./bin/splunkenableboot-startSPLUNKGENERALTERMS按空格键浏览软件协议,按y键同意协议。然后创建Splunk管理员用户和密码:启动splunk服务:root@osboxes:/opt/splunk#systemctlstartsplunkroot@osboxes:/opt/splunk#没有报错,说明启动成功。现在可以在浏览器中使用http://serverip:8000访问Splunk的WebUI,输入设置的用户名和密码登录WebUI页面:至此Splunk安装已经完成,接下来步骤是添加数据0x3Splunk数据获取点击WebUI中的“添加数据”,进入数据添加引导流程,Splunk提供了多种添加数据的方式:这里我们要添加主机的日志文件进行监控,所以选择“Monitor-fileorportonthisSplunkplatforminstance”:选择“FilesandDirectories”,点击右侧的Browse选择日志目录,然后确认:然后点击Next:输入的一些设置可以根据需要设置.如果没有问题,可以点击“检查”:提示成功,点击“开始搜索”:至此数据已经成功添加到Splunk进行索引,可以根据需要搜索和监控日志文件了。0x4Splunk添加Windows日志监控首先从Splunk下载万能转发器:https://www.splunk.com/zh-hans_cn/download.html按要求下载:在Windows主机上安装转发器:选择按要求收集数据:根据提示填写必要信息,然后安装返回SplunkWebUI界面,点击右侧“设置”-->“转发和接收”:添加新的接收设置:配置接收端口,并保存:返回在搜索过程中,您可以搜索Windows日志:0x5Splunk添加仪表板单击搜索结果右侧的“另存为”以创建仪表板、报告和警报。根据要求填写信息和选项,然后点击保存:这样一个dashboard就创建好了:更多搜索示例,请参考官方文档:https://docs.splunk.com/Docum...更多dashboard创建和说明请参考官方文档:https://docs.splunk.com/Docum...
