基于splunk的主机日志整合并分析

大家都知道,主机日志格式过于杂乱对于日后的分析造成了不小的困扰,而splunk的轻便型、便携性、易安装性造就了其是一个日志分析的好帮手。

而如果在每台主机上都装上一个splunk客户端无疑是工作量庞大、占用空间的,那有没有方法可以把所有的主机日志整合到一起,答案是肯定的。

首先我们在客户端上装好splunk

然后在服务端上装上splunk的forwarder

选择要转发同步过来的日志

设置转发的ip即客户端ip和默认端口

然后我们在客户端上添加默认的转发端口

现在我们在客户端上就能看到各服务端同步过来的日志

jumbo-pc就是我们装了splunk的forwarder的服务端的机器

但是有一点,windows默认的自带日志除了登录日志对我们有点用处以外,其他的貌似用户不大,对于分析人员来说,可能更想看到的是哪个文件执行了具体的历史命令,那我们这里就要介绍以windows记录详细日志的sysmon为例,把sysmon日志也同步过来。

首先我们在服务端上安装好sysmon

装好以后会在日志目录在出现sysmon日志文件

我们可以先打开sysmon日志看下,发现日志比windows自带日志详细很多

那我们下面来把sysmon日志也同步过来

我们修改装有splunk的forwarder的服务端的文件(默认为C:\Program Files\SplunkUniversalForwarder\etc\system\local\Inputs.conf)

添加如下数据

[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = false
renderXml = true

修改完以后最好重启一下,然后我们看下客户端,发现能够看到sysmon的日志也同步过来了,能够利用各种搜索语句便于我们后续的分析

PS:实际上,在win10、win8、win2012、win2016上面,是可以手动开启4688进程记录的,并且记录详细的命令信息。开启方法如下

本地计算机策略-计算机配置-管理模板-系统-审核过程过程-启用

本地计算机策略-windows设置-安全设置-高级审核策略配置-详细跟踪-开启

然后我们在安全日志里面也能看到进程信息包括详细的命令行了

原文发布于微信公众号 - 中国白客联盟(China_Baiker)

原文发表时间:2018-08-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏python3

python爬虫--调用百度翻译进行文本翻译

点网络,会发现很多GET,POST请求,右边消息头那里会有很多信息:请求地址、请求方法、远程地址、状态码、server、等等之类的信息

1541
来自专栏JMCui

Linux 学习记录 二 (文件的打包压缩).

 前言:本文参考《鸟哥的Linux 私房菜》,如有说的不对的地方,还请指正!谢谢!  环境:Centos 6.4  和window不同,在Linux压缩文件需要...

3605
来自专栏Golang语言社区

通俗的解释一下什么是 RPC 框架?

首先了解什么叫RPC,为什么要RPC,RPC是指远程过程调用,也就是说两台服务器A,B,一个应用部署在A服务器上,想要调用B服务器上应用提供的函数/方法,由于不...

2465
来自专栏技术专栏

解决 maven 引入其他模块无法扫描到spring bean的问题

2211
来自专栏专业duilib使用+业余界面开发

duilib中list拖动表头大小内容大小跟随变化的一个示例

2114
来自专栏IT笔记

Nginx学习之HTTP/2.0配置

哎呀,一不小心自己的博客也是HTTP/2.0了,前段时间对网站进行了https迁移并上了CDN,最终的结果是这酱紫的(重点小绿锁,安全标示以及HTTP/2.0请...

38914
来自专栏Petrichor的专栏

文件层次结构

文件系统层次结构标准(英语:Filesystem Hierarchy Standard,FHS)定义了Linux操作系统中的主要目录及目录内容。在大多数情况下,...

1924
来自专栏BeJavaGod

权限设计(上) - 数据库表设计

web权限设计,做权限目前有三种主流实现方式 第一种:手动实现   配置2个拦截器,一个是拦截是否登陆,一个是拦截url的权限,通过角色权限表的配置,把权限ur...

4925
来自专栏上善若水

0x01缓存基本概念一览

它的主要实现思想是:在程序和数据源之间引入一个中间层即Cache,访问cache的时间成本肯定远低于数据源。

1494
来自专栏zhisheng

Python爬虫入门三之Urllib库的基本使用

那么接下来,小伙伴们就一起和我真正迈向我们的爬虫之路吧。 1.分分钟扒一个网页下来 怎样扒网页呢?其实就是根据URL来获取它的网页信息,虽然我们在浏览器中看到的...

3665

扫码关注云+社区

领取腾讯云代金券