基于splunk的主机日志整合并分析

大家都知道，主机日志格式过于杂乱对于日后的分析造成了不小的困扰，而splunk的轻便型、便携性、易安装性造就了其是一个日志分析的好帮手。

而如果在每台主机上都装上一个splunk客户端无疑是工作量庞大、占用空间的，那有没有方法可以把所有的主机日志整合到一起，答案是肯定的。

首先我们在客户端上装好splunk

然后在服务端上装上splunk的forwarder

选择要转发同步过来的日志

设置转发的ip即客户端ip和默认端口

然后我们在客户端上添加默认的转发端口

现在我们在客户端上就能看到各服务端同步过来的日志

jumbo-pc就是我们装了splunk的forwarder的服务端的机器

但是有一点，windows默认的自带日志除了登录日志对我们有点用处以外，其他的貌似用户不大，对于分析人员来说，可能更想看到的是哪个文件执行了具体的历史命令，那我们这里就要介绍以windows记录详细日志的sysmon为例，把sysmon日志也同步过来。

首先我们在服务端上安装好sysmon

装好以后会在日志目录在出现sysmon日志文件

我们可以先打开sysmon日志看下，发现日志比windows自带日志详细很多

那我们下面来把sysmon日志也同步过来

我们修改装有splunk的forwarder的服务端的文件（默认为C:\Program Files\SplunkUniversalForwarder\etc\system\local\Inputs.conf）

添加如下数据

[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = false
renderXml = true

修改完以后最好重启一下，然后我们看下客户端，发现能够看到sysmon的日志也同步过来了，能够利用各种搜索语句便于我们后续的分析

PS：实际上，在win10、win8、win2012、win2016上面，是可以手动开启4688进程记录的，并且记录详细的命令信息。开启方法如下

本地计算机策略-计算机配置-管理模板-系统-审核过程过程-启用

本地计算机策略-windows设置-安全设置-高级审核策略配置-详细跟踪-开启

然后我们在安全日志里面也能看到进程信息包括详细的命令行了