1、添加数据
(1)攻击日志
此处我们采用已搭建的蜜罐系统的攻击日志(上钩列表)为数据源,导出攻击日志数据。
??备注:普遍的形式是:安全设备通过syslog把日志发送到服务器。如下为举例。
?
(2)导入数据
此处,我们通过【上载来自我的计算机的文件】的方式导入数据,如下所示:
?
?
2、检索数据
?(1)对日志进行检索
检索蜜罐攻击日志,关键词:source="HFish_20220402.csv" sourcetype="csv"
(2)对日志进行提取字段
攻击日志的内容比较原始,所以需要进行字段提取,拉到页面底栏,进行【提取新字段】如下所示:
?
?
?
由于我们的攻击日志是采用逗号(,)进行分隔每个字段的,所以采用【分隔符】进行提取字段。
?(3)查看已提取的字段
查看我们新建的字段,在【设置】-【字段】-【字段提取】
?在【应用】进行筛选,然后进行搜索:
可以看到字段
3.可视化报表
(1)新建日志报表
保存成功后,我们可以查看仪表板,如下所示:
?
(2)组合不同的报表
添加新的面板后,可能需要添加标题,最后通过拖拉仪表板的方式,组合成最终的报表。
(3)综合报表设置
如果我们需要再次查看我们的报表,可以进行如下操作
将我们刚刚新建的仪表板设置为主页的仪表板,如下所示:
?
?
4.参考
1.官方帮助中文文档
https://docs.splunk.com/Documentation/Splunk/latest/Translated/SimplifiedChinesemanuals
备注:splunk 提示:Requires license feature='Auth' 错误提示说明:由于我们采用的splunk的免费版本,所以有些功能是不能使用的,所以会提示:同时日志索引限制在500M,splunk平台只能创建管理员账号,无法创建其他账号。
2.Windows搭建syslog日志服务器
官方网站:https://www.kiwisyslog.com/kiwi-syslog-server
备注:必须设置来源IP,才可以接收日志;其他信息请阅读帮助文档。
3.linux搭建syslog服务器
Linux搭建syslog服务器相对容易,文档也比较多,毕竟Linux 往往自带syslog服务器。
参考文档:https://www.freebuf.com/articles/es/246659.html