基於splunk的主機日誌整合併分析
大家都知道,主機日誌格式過於雜亂對於日後的分析造成了不小的困擾,而splunk的輕便型、便攜性、易安裝性造就了其是一個日誌分析的好幫手。
而如果在每台主機上都裝上一個splunk客戶端無疑是工作量龐大、佔用空間的,那有沒有方法可以把所有的主機日誌整合到一起,答案是肯定的。
首先我們在客戶端上裝好splunk
然後在服務端上裝上splunk的forwarder
選擇要轉發同步過來的日誌
設置轉發的ip即客戶端ip和默認埠
然後我們在客戶端上添加默認的轉發埠
現在我們在客戶端上就能看到各服務端同步過來的日誌
jumbo-pc就是我們裝了splunk的forwarder的服務端的機器
但是有一點,windows默認的自帶日誌除了登錄日誌對我們有點用處以外,其他的貌似用戶不大,對於分析人員來說,可能更想看到的是哪個文件執行了具體的歷史命令,那我們這裡就要介紹以windows記錄詳細日誌的sysmon為例,把sysmon日誌也同步過來。
首先我們在服務端上安裝好sysmon
裝好以後會在日誌目錄在出現sysmon日誌文件
我們可以先打開sysmon日誌看下,發現日誌比windows自帶日誌詳細很多
那我們下面來把sysmon日誌也同步過來
我們修改裝有splunk的forwarder的服務端的文件(默認為C:Program FilesSplunkUniversalForwarderetcsystemlocalInputs.conf)
添加如下數據
[WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = true
修改完以後最好重啟一下,然後我們看下客戶端,發現能夠看到sysmon的日誌也同步過來了,能夠利用各種搜索語句便於我們後續的分析
PS:實際上,在win10、win8、win2012、win2016上面,是可以手動開啟4688進程記錄的,並且記錄詳細的命令信息。開啟方法如下
本地計算機策略-計算機配置-管理模板-系統-審核過程過程-啟用
本地計算機策略-windows設置-安全設置-高級審核策略配置-詳細跟蹤-開啟
然後我們在安全日誌裡面也能看到進程信息包括詳細的命令行了
TAG:中國白客聯盟 |