SIEM之基于Splunk的日志监控

治白癫疯办法 https://m-mip.39.net/baidianfeng/mipso_4566445.html

0x0概述

Splunk是什么?

Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。

Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。

Splunk功能概述

数据获取:Splunk支持各种格式(如XML、JSON)和非结构化机器数据的获取。

数据索引:Splunk会自动索引从各方获取的数据,以便在各种条件下进行搜索

数据搜索:Splunk中的搜索包括在仪表板上创建指标或索引的模式。

Dashboards:以透视表、图表、报告等形式展示搜索结果

告警:用于在分析数据中发现的某些异常活动时触发邮件或其他方式的告警推送。

Splunk的三大组件:

Splunk转发器:用于收集日志的组件,将日志数据转发给Splunk索引器进行处理和存储。

Splunk索引器:用来索引和存储转发器中的数据,将传入的数据转换为事件,并将其存储在索引中,以便高效地执行搜索操作。

Splunk搜索头:用于与Splunk交互的组件。为用户提供了一个图形用户界面来执行各种操作。用户可以通过输入搜索词来搜索和查询索引器中存储的数据。

0x1Splunk的安装配置(以Ubuntu为例)

配置要求:

Ubuntu20.04以上系统版本

4G或以上内存

2核或以上CPU

Splunk企业版下载安装

Splunk企业版提供试用安装版,我们可以去


转载请注明:http://www.aierlanlan.com/grrz/4272.html

  • 上一篇文章:
  •   
  • 下一篇文章: 没有了