前言
对于攻防场景中,我们经常会遇到需要进行日志分析的时候,但是实战场景中,我们拿到的日志量经常是非常大的,很多时候是十几台主机的日志甚至更多。今天带来一个工具splunk,帮助我们快速分析。
正文
拿到安装包后直接安装。
今天我们拿windwos本地日志拿来做例子,正常splunk上传不能解析evtx格式的日志,需要我们配置一下loclal目录下的配置来解析evtx日志。
这里拿自己个人电脑的日志做demo
当我们排查入侵的时候,可以选中进程名进行快速分析,这样可以帮助我们快速的排查一些可疑进程,进而进行样本分析判断。
也可以进行可视化分析
通过可视化分析,快速判断
通过对于关键字段进行过滤排查
如果是多台机器,可以通过限制源IP,将多台机子的安全日志都导入到splunk当中,排查出这台机子对于其他机器的RDP登录情况,以及爆破情况,这是其中一个思路,利用这个平台,可以帮助我们快速的找到异常,从而进一步分析。
原文始发于微信公众号(Th0r安全):威胁狩猎之日志分析神器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论