基于splunk的主机日志整合并分析

admin 2022年9月1日01:23:57安全闲碎评论4 views964字阅读3分12秒阅读模式

基于splunk的主机日志整合并分析


大家都知道,主机日志格式过于杂乱对于日后的分析造成了不小的困扰,而splunk的轻便型、便携性、易安装性造就了其是一个日志分析的好帮手。


而如果在每台主机上都装上一个splunk客户端无疑是工作量庞大、占用空间的,那有没有方法可以把所有的主机日志整合到一起,答案是肯定的。


首先我们在客户端上装好splunk

基于splunk的主机日志整合并分析


然后在服务端上装上splunk的forwarder

选择要转发同步过来的日志

基于splunk的主机日志整合并分析

设置转发的ip即客户端ip和默认端口

基于splunk的主机日志整合并分析基于splunk的主机日志整合并分析

然后我们在客户端上添加默认的转发端口

基于splunk的主机日志整合并分析

现在我们在客户端上就能看到各服务端同步过来的日志

jumbo-pc就是我们装了splunk的forwarder的服务端的机器

基于splunk的主机日志整合并分析

基于splunk的主机日志整合并分析


但是有一点,windows默认的自带日志除了登录日志对我们有点用处以外,其他的貌似用户不大,对于分析人员来说,可能更想看到的是哪个文件执行了具体的历史命令,那我们这里就要介绍以windows记录详细日志的sysmon为例,把sysmon日志也同步过来。


首先我们在服务端上安装好sysmon

装好以后会在日志目录在出现sysmon日志文件

基于splunk的主机日志整合并分析

我们可以先打开sysmon日志看下,发现日志比windows自带日志详细很多

基于splunk的主机日志整合并分析


那我们下面来把sysmon日志也同步过来

我们修改装有splunk的forwarder的服务端的文件(默认为C:Program FilesSplunkUniversalForwarderetcsystemlocalInputs.conf)


添加如下数据


[WinEventLog://Microsoft-Windows-Sysmon/Operational] disabled = false renderXml = true

修改完以后最好重启一下,然后我们看下客户端,发现能够看到sysmon的日志也同步过来了,能够利用各种搜索语句便于我们后续的分析

基于splunk的主机日志整合并分析


PS:实际上,在win10、win8、win2012、win2016上面,是可以手动开启4688进程记录的,并且记录详细的命令信息。开启方法如下


本地计算机策略-计算机配置-管理模板-系统-审核过程过程-启用

基于splunk的主机日志整合并分析

基于splunk的主机日志整合并分析

本地计算机策略-windows设置-安全设置-高级审核策略配置-详细跟踪-开启

基于splunk的主机日志整合并分析

然后我们在安全日志里面也能看到进程信息包括详细的命令行了

基于splunk的主机日志整合并分析


原文始发于微信公众号(中国白客联盟):基于splunk的主机日志整合并分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月1日01:23:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  基于splunk的主机日志整合并分析 http://cn-sec.com/archives/783367.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: