- 综合排序
- 最热优先
- 最新优先
- 来自专栏Bypass
Splunk系列:Splunk搜索分析篇(四)
一、简单概述 Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。 它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。
2.2K41编辑于 2022-04-19 - 来自专栏Bypass
Splunk系列:Splunk安装部署篇(一)
一、Splunk概述 Splunk 是机器数据的引擎,提供了日志收集、存储、分析、可视化展示为一体的一整套解决方案。借助Splunk进行调查和取证、威胁监测以及事件响应,以应对各种不同的安全挑战。 二、安装Splunk 2.1 下载Splunk 由于一些合规要求,如果你也遇到这样的访问限制,那么就需要重新注册用户。 2.2 在Linux平台安装Splunk (1)安装Splunk cd /opt rpm -ivh rpm -ivh splunk-8.2.3-cd0848707637-linux-2.6-x86_64 PATH=$SPLUNK_HOME/bin:$PATH [root@localhost bypass]# source /etc/profile (3)启动splunk 使用splunk start 命令启动splunk,输入用户和密码,完成初始化。
4.3K22发布于 2021-11-12 - 来自专栏Bypass
Splunk系列:Splunk字段提取篇(三)
一、简单概述 Splunk 是一款功能强大的搜索和分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。 当Spklunk开始执行搜索时,会查找数据中的字段。 与预定义提取指定字段不同,Splunk可以通过用户自定义从原始数据中动态提取字段。 这里,我们演示一下如何利用Splunk来提取字段。 二、字段提取器 Splunk提供了一种非常简单的方式来提取字段,就是使用字段提取器,即使在你完全不了解正则表达式的情况下,也可以轻松完成字段提取。 三、新字段提取 在Splunk Web中,提供了一种快速设置字段提取的方式,只需提供正则表达式,就可以直接完成新字段提取。
3.4K21编辑于 2022-04-19 - 来自专栏Bypass
Splunk系列:Splunk数据接入篇(二)
一、简单概述 Splunk支持多种多样的数据源,比如它可以直接上传文件,可以监控本地的任何目录或文件,也可以配置通用转发器等方式来完成数据接入。 Splunk所有的设置都可以通过Web页面、使用Splunk CLI命令,甚至是直接修改配置文件,以此来完成设置。 那么,如何接入数据呢? imtcp $InputTCPServerRun 514 *.* @@192.168.44.130:514 (3)重启rsyslog服务 systemctl restart rsyslog 2.2、Splunk 三、应用实例2:使用通用转发器收集Windows日志 3.1 配置Splunk接收端口 (1)设置→转发和接收→配置接收,新增接收端口。
3.3K11发布于 2021-11-19 - 来自专栏字节脉搏实验室
Splunk初识
Splunk基本命令 ./splunk start //启动 ./splunk stop //关闭 ./splunk restart //重启 . /splunk status //查看状态 ./splunk version //查看版本 ./splunk show splunkd-port //查看管理端口 . /splunk enable web-ssl //启用SSL ./splunk disable web-ssl //关闭SSL . 不过这里它好像不会主动刷新,要点击搜索或者刷新页面,才会有新的日志 Splunk监视远程数据 这个地方要下载splunk forwarder:https://www.splunk.com/en_us/ /splunk start ./splunk add forward-server 198.46.145.77:9997 .
1.4K10发布于 2020-04-14 - 来自专栏devops_k8s
Splunk简介,部署,使用
下载 wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux -2.6-x86_64.rpm&wget=true' 安装 下载软件包后,使用RPM软件包管理器将Splunk Enterprise RPM安装在缺省目录/opt/splunk中 rpm -ivh splunk regid.2001-12.com.splunk-Splunk-Enterprise.swidtag’: No such file or directory complete 启动 /opt/splunk **Splunk监控数据文件** image.png 9.从下一个界面中,选择“ 文件和目录” 选择Splunk文件和目录 image.png 10.然后设置实例以监视数据的文件和目录
3.4K40发布于 2021-06-22 - 来自专栏信安之路
Splunk学习与实践
产品:Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【大数据分析平台】、Splunk Apps【基于企业版的插件】等。 3、进入splunk命令文件夹(bin) cd /opt/splunk/bin //进入splunk bin目录 4、检查splunk状态 . /splunk start //启动splunk . /splunk enable boot-start 8、查看splunk进程信息 ps –f | grep splunk 6、 Splunk卸载 1、进入splunk文件夹 /splunk status 3、关闭splunk服务 /splunk stop 4、删除splunk安装目录 rm –rf /opt/splunk 7、 Splunk
5.2K10发布于 2018-08-08 - 来自专栏FreeBuf
Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具
关于Splunk Attack Range Splunk Attack Range是一款针对Splunk安全的模拟测试环境创建工具,该工具完全开源,目前由Splunk威胁研究团队负责维护。 该工具能够帮助广大研究人员构建模拟攻击测试所用的本地或云端环境,并将数据转发至Splunk实例中。除此之外,该工具还可以用来开发和测试安全检测机制的有效性。 功能特性 Splunk Attack Range是一个检测开发平台,主要解决了检测过程中的三个主要挑战: 1、用户能够快速构建尽可能接近生产环境的小型安全实验基础设施; 2、Splunk Attack Attack Range: docker pull splunk/attack_range docker run -it splunk/attack_range aws configure python 项目地址 Splunk Attack Range: https://github.com/splunk/attack_range
57310编辑于 2024-04-03 - 来自专栏sktj
Splunk入门与安装(Linux系统)
1、Splunk硬件需求 2、Splunk架构图 3、下载tgz: wget -O splunk-7.0.1-2b5b15c4ee89-Linux-x86_64.tgz 'https://www.splunk.com in: /opt/splunk To start Splunk, run thecommand: /opt/splunk/bin/splunk start #这一行命令要完整敲出来 documentation is athttp://docs.splunk.com/Documentation/Splunk 5、启动服务 /opt/splunk/bin/splunk start 6、设置开机自启动 /opt/splunk/bin/splunk enable boot-start #Init script installed at/etc/init.d/splunk. 具体配置如下图: 重启splunk服务 检查设置splunk forwarder设置 Splunk.exe list forward-server 客户端计算机名称 使用查询功能。 搞定!!
3.5K10编辑于 2022-05-24 - 来自专栏sktj
Splunk破解500M限制
破解splunk导入数据500M限制 cd $ SPLUNK_HOME vim lib/python2.7/site-packages/splunk/appserver/mrsparkle/controllers quota_value = quota_value * 1024 * 1024 #quota_units = 'MB' quota_units = 'TB' mv lib/python2.7/site-packages/splunk /appserver/mrsparkle/controllers/licensing.pyo /root splunk restart 更改许可证 改为:Free许可证组 Web方式(使用浏览器访问http ://plunk_server_ip:8000) 设置》授权》更改许可证组 选 Free 许可证 重启splunk
1.7K20编辑于 2022-05-24 - 来自专栏云头条
思科竞购 Splunk:出价 200 亿美元
据知情人士透露,思科系统公司已向软件开发商Splunk Inc. 发出了金额超过200亿美元的收购要约。 一些知情人士表示,思科最近发出了这一要约,两家公司目前并没有进行积极的洽谈。 由于此前掌权期间公司业绩表现一直令人失望,Doug Merritt在任职约六年后于去年11月卸任,Splunk目前正在寻找首席执行官。 Splunk已任命董事会主席Graham Smith为临时首席执行官,他仍然担任该职位。 Splunk的股价在新冠疫情初期大幅上涨,其他许多增长潜力强劲的科技公司的股价也大幅上涨,但此后Splunk股价几乎跌去了一半。 目前尚不清楚其他潜在的竞购者是否也在与 Splunk洽谈。 Splunk 在去年6月曾表示,专注于技术的私募股权公司银湖(Silver Lake)当时向该公司投资10亿美元,以帮助支持业务转型。Splunk一直在从传统的软件许可模式向基于云的订阅模式转型。
66820编辑于 2022-03-16 - 来自专栏中国白客联盟
基于splunk的主机日志整合并分析
大家都知道,主机日志格式过于杂乱对于日后的分析造成了不小的困扰,而splunk的轻便型、便携性、易安装性造就了其是一个日志分析的好帮手。 而如果在每台主机上都装上一个splunk客户端无疑是工作量庞大、占用空间的,那有没有方法可以把所有的主机日志整合到一起,答案是肯定的。 首先我们在客户端上装好splunk ? 然后在服务端上装上splunk的forwarder 选择要转发同步过来的日志 ? 设置转发的ip即客户端ip和默认端口 ? ? 然后我们在客户端上添加默认的转发端口 ? 现在我们在客户端上就能看到各服务端同步过来的日志 jumbo-pc就是我们装了splunk的forwarder的服务端的机器 ? ? 那我们下面来把sysmon日志也同步过来 我们修改装有splunk的forwarder的服务端的文件(默认为C:\Program Files\SplunkUniversalForwarder\etc\system
1.8K20发布于 2018-08-20 - 来自专栏北京马哥教育
使用Heapster和Splunk监控Kubernetes运行性能
我们今天来看一看如何利用Splunk最新的Metrics Store来对Kubernetes的集群进行性能监控。 的Metrics Store 利用Splunk的搜索命令和仪表盘功能对性能数据进行监控 ? 因为Splunk的Metrics Store支持statsd协议,所以可以很容易的和Heapster集成。 的IP或者主机名,port的对应的Splunk的data input的端口号。 好了,更多的分析选项可以参考Splunk文档。
1.7K60发布于 2018-05-04 - 来自专栏FreeBuf
Splunk+蜜罐+防火墙=简易WAF
(数据流向图) 0×01 产品简介 splunk:大数据分析平台,搜索极快,字段创建灵活。 0×02 日志收集 部署splunk的转发器进行统一日志收集,同时可以配置splunk索引器(日志中心)的端口监听,来收集所有设备的syslog。索引器和转发器的配置安装网上也有教程,这里不再多写。 (splunk整体架构) 0×03 日志分析 splunk自带了一部分日志模板,如tomcat、IIS、windows日志等(如下图),同时也不必担心无法分析其他的日志,我们可以通过正则表达式来灵活地建立自定义字段 于是开始了研究防火墙联动的工作,首先即着手如何用splunk导出告警原文并运行脚本。 想要导出告警文本,就需要知道splunk告警中的变量,其中总共有8个变量,从0到8(没有7),如下表所示。 在编辑告警操作中,添加运行脚本”addBlack.sh”(脚本需放置于$SPLUNK_HOME/bin/scripts目录中) (添加运行脚本) 此后再检测到扫描,splunk会自动发送邮件到安全部门,
3.1K61发布于 2018-02-09 - 来自专栏KaliArch
Splunk:强大的机器数据分析平台浅尝
搜索和查询:Splunk提供强大的搜索和查询功能,用户可以使用Splunk查询语言(SPL)对数据进行高效的搜索和分析。 监视和警报:Splunk可以设置监视规则,当满足某些条件时触发警报,帮助用户及时发现问题。扩展性:Splunk允许通过添加插件和自定义脚本来扩展其功能,以满足不同用户的需求。 五注意事项数据量:Splunk需要存储和处理大量的机器数据,需要足够的硬件资源。性能:Splunk的性能会受到数据量、查询复杂度、硬件配置等因素的影响。 安全性:确保Splunk的安全配置,防止数据泄露或被恶意访问。成本:Splunk的授权费用可能会比较高,需要根据实际需求选择合适的授权方案。 在使用Splunk时,需要根据实际情况选择合适的部署方式、配置安全策略,并注意数据量、性能和成本等因素。参考链接Splunk官方网站Splunk文档Splunk社区
21410编辑于 2025-11-15 - 来自专栏信安百科
CVE-2023-40595|Splunk Enterprise 远程代码执行漏洞
0x00 前言 Splunk Enterprise是一种分析平台,可以分析和搜索大量的机器数据,包括日志、配置文件、网络流量等。 0x01 漏洞描述 该漏洞需要使用"collect SPL"命令,该命令会将文件写入Splunk Enterprise的安装目录,然后可以利用该文件提交序列化的Payload,从而导致执行任意代码。 0x02 CVE编号 CVE-2023-40595 0x03 影响版本 Splunk Enterprise 8.2版本:8.2.0 - 8.2.11 Splunk Enterprise 9.0版本:9.0.0 - 9.0.5 Splunk Enterprise 9.1版本:9.1.0 Splunk Cloud版本:<= 9.0.2305.100 0x04 参考链接 https://advisory.splunk.com
82320编辑于 2023-09-05 - 来自专栏FreeBuf
使用Sysmon和Splunk探测网络环境中横向渗透
工具: Sysmon + Splunk light 安装配置: sysmon -i -n ? 在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ? 安装Splunk插件(Splunk “Add-on for MicrosoftSysmon”)插件下载地址:https://splunkbase.splunk.com/app/1914/#/overview 下载加压插件并将插件放到: C:\ProgramFiles\Splunk\etc\apps ? 重启Splunk Light.
2.5K70发布于 2018-02-09 - 来自专栏FreeBuf
在Splunk上安装自定义应用反弹Shell的方法
前言 每次测试时我都会碰到Splunk。Splunk是一个用于搜索,分析和可视化数据的软件平台。通常,Splunk中都会包含着各种数据,其中一些可能是较为敏感的数据。 Splunk app 有一个技巧我相信很多人都不知道,就是使用Splunk app来执行python代码。TBG Security团队开发了一款可用于渗透测试的Splunk app。 首先,你只需从Splunk Shells GitHub页面下载其最新版本。 登录Splunk管理控制台后,依次单击“App”栏和“Manage Apps”。 ? 应用成功上传后,必须重启Splunk。重启后登录Splunk,并返回到“Apps”界面。单击permissions,当你看到“Sharing”选项时,单击“All Apps”单选按钮。 ? 以上测试是在Splunk 7.0上进行的,一切都非常的顺利!Splunk通常以root身份运行,这为攻击者提供了枚举主机其他信息的机会,而不仅仅是局限在数据库范围。
1.5K20发布于 2018-12-11 - 来自专栏Cyber Security
【漏洞复现】Splunk Enterprise 任意文件读取漏洞(CVE-2024-36991)
影响版本 9.2 <= Splunk Enterprise < 9.2.2 9.1 <= Splunk Enterprise < 9.1.5 9.0 <= Splunk Enterprise < 漏洞仅影响 Windows平台上的 Splunk Enterprise,官方已发布安全更新,建议升级至最新版本。 reference: - https://advisory.splunk.com/SVD-2024-0711 tags: cve,cve2024,splunk-Enterpris requests /windows/win.ini" 修复建议 目前官方已有可更新版本,建议受影响用户升级至最新版本: Splunk Enterprise 9.2.2 Splunk Enterprise 9.1.5 Splunk Enterprise 9.0.10 官方地址:https://www.splunk.com/zh_cn/download.html
1.1K10编辑于 2024-07-18 - 来自专栏运维ABC
ansible生产环境使用场景(五):splunk客户端批量安装
在splunk客户端运行导入命令,如能正确导入pexpect模块,则代表安装成功。 三 、role总览 1.初始化role [root@ansible-awx roles]# ansible-galaxy init splunk - Role splunk was created successfully role名为splunk 2.执行文件 [root@ansible-awx ansible]# more splunk.yaml --- - hosts: "{{ hostlist }}" roles : - role: splunk hosts列表需执行的时候指定。 /splunkforwarder/bin/splunk enable boot-start" xx.xx.xx.xx:9997为splunk服务端ip和端口,根据实际情况修改。
2.5K20发布于 2020-10-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号