Splunk初识

甲方安全
创建时间:
阅读:
  1. Windows下进行安装
  2. Linux进行安装
  3. Splunk基本命令
  4. 导入日志文件
  5. Splunk搜索语言
  6. Splunk监视本地数据
  7. Splunk监视远程数据
  8. 参考链接

认识splunk的第一天

Windows下进行安装

下载地址:https://www.splunk.com/zh-hans_cn/download.html
这里要注册用户才可以使用,随便填写资料。


看来默认绑定了8000端口,安装的时候会让你输入账号密码,这里我们登陆。

Linux进行安装


这里我下载了tgz格式的文件,下载好之后进行解压,进入splunk目录下然后运行

1
bin/splunk start

他会让你同意一个协议,输入初始的用户名和密码

也是开在了8000端口,访问:

Splunk基本命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
./splunk start    //启动
./splunk stop   //关闭
./splunk restart  //重启
./splunk status   //查看状态
./splunk version   //查看版本
./splunk show splunkd-port  //查看管理端口
./splunk show web-port   //查看web登陆管理端口
./splunk set web-port 80  //修改web登陆管理端口为80
./splunk set servername    //新的服务器名称 //设置服务器名称
./splunk set default-hostname  新的主机名称 //设置默认主机名称
./splunk enable web-ssl     //启用SSL
./splunk disable web-ssl    //关闭SSL
./splunk edit user admin –password ‘newpassword’ –authadmin:oldpassword     //修改用户密码
./splunk add user  //新增用户
./splunk add user 新的用户名 -password ‘新用户密码’ -full-name ‘设置它的全名’ –role User(这个是角色)
./splunk list user    //列出用户
./splunk remove user     //删除用户

导入日志文件

这里选择添加数据

选择监控

因为我们这里是本地上传,所以我们选择文件和目录选项,选定我们的路径,然后点击下一步

会让我们选择设置来源类型,估计splunk自动就会识别类型,这里并不需要修改,点击下一步

这一步是让我们设置索引,你可以自己设置一个索引,也可以使用默认的

然后一直点击下一步,等一会就可以开始搜索了

在搜索框里面就可以搜索指定的内容

要是退出了这个搜索的页面,下一次我们可以通过点击主页面上的活动->任务,选择里面的任务就可以重新返回到搜索页面。

上传zip文件也是这个思路

Splunk搜索语言

1
2
3
4
5
6
7
8
9
10
11
12
13
head n	//返回前n个
tail n	//返回后n个
top	//显示字段最常见/出现次数最多的值
rare	//显示字段出现次数最少的值
limit	//限制查询,如:limit 5,限制结果的前5条
rename xx as zz //为xx字段设置别名为zz,多个之间用 ,隔开
fields	//保留或删除搜索结果中的字段。fiels – xx 删除xx字段,保留则不需要 – 符号
table	//返回仅由参数中指定的字段所形成的表。如:table _time,clientip,返回的列表中只有这两个字段,多个字段用逗号隔开
stats count() :括号中可以插入字段,主要作用对事件进行计数
stats dc():distinct count,去重之后对唯一值进行统计
stats values(),去重复后列出括号中的字段内容
stats list(),未去重之后列出括号指定字段的内容
stats avg(),求平均值

Splunk监视本地数据

这里和上面上传文件是一样的思路,这里尝试去监控phpstudy里面的apache日志,设置如下
主页添加数据->监视->文件和目录


不过这里它好像不会主动刷新,要点击搜索或者刷新页面,才会有新的日志

Splunk监视远程数据

这个地方要下载splunk forwarder:https://www.splunk.com/en_us/download/universal-forwarder.html

将下载好的splunkforwarder放到远程需要监听的服务器上,解压,配置转发器

1
2
3
4
5
6
7
cd bin/
ps aux | grep splunk
./splunk start
./splunk add forward-server 198.46.145.77:9997
./splunk add forward-server 198.46.145.77:9997 -auth admin:changeme
./splunk list forward-server
./splunk add monitor /var/log/apache2/ -index linuxaudit

我们的接收端要做两个事情,设置索引和配置接收的端口

接收的端口在设置,转发和接收,新建,添加一个9997端口

最后我们在主界面应用Search & Reporting中搜索 index=”linuxaudit”
我们监控的远程日志就会显示到这边来了

参考链接

https://www.cnblogs.com/digod/p/9626882.html

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 sher10cksec@foxmail.com

文章标题:Splunk初识

本文作者:sher10ck

发布时间:2019-12-10, 09:49:58

最后更新:2020-01-13, 12:48:11

原始链接:http://sherlocz.github.io/2019/12/10/Splunk初识/

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

©2019-2020 sher10ck

Built with Hexo and 3-hexo theme

目录