前言
对于攻防场景中,我们经常会遇到需要进行日志分析的时候,但是实战场景中,我们拿到的日志量经常是非常大的,很多时候是十几台主机的日志甚至更多。今天带来一个工具splunk,帮助我们快速分析。
正文
拿到安装包后直接安装。
今天我们拿windwos本地日志拿来做例子,正常splunk上传不能解析evtx格式的日志,需要我们配置一下loclal目录下的配置来解析evtx日志。
这里拿自己个人电脑的日志做demo
当我们排查入侵的时候,可以选中进程名进行快速分析,这样可以帮助我们快速的排查一些可疑进程,进而进行样本分析判断。
也可以进行可视化分析
通过可视化分析,快速判断
通过对于关键字段进行过滤排查
如果是多台机器,可以通过限制源IP,将多台机子的安全日志都导入到splunk当中,排查出这台机子对于其他机器的RDP登录情况,以及爆破情况,这是其中一个思路,利用这个平台,可以帮助我们快速的找到异常,从而进一步分析。
原文始发于微信公众号(Th0r安全):威胁狩猎之日志分析神器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论