基於splunk的主機日誌整合併分析

大家都知道，主機日誌格式過於雜亂對於日後的分析造成了不小的困擾，而splunk的輕便型、便攜性、易安裝性造就了其是一個日誌分析的好幫手。

而如果在每台主機上都裝上一個splunk客戶端無疑是工作量龐大、佔用空間的，那有沒有方法可以把所有的主機日誌整合到一起，答案是肯定的。

首先我們在客戶端上裝好splunk

然後在服務端上裝上splunk的forwarder

選擇要轉發同步過來的日誌

設置轉發的ip即客戶端ip和默認埠

然後我們在客戶端上添加默認的轉發埠

現在我們在客戶端上就能看到各服務端同步過來的日誌

jumbo-pc就是我們裝了splunk的forwarder的服務端的機器

但是有一點，windows默認的自帶日誌除了登錄日誌對我們有點用處以外，其他的貌似用戶不大，對於分析人員來說，可能更想看到的是哪個文件執行了具體的歷史命令，那我們這裡就要介紹以windows記錄詳細日誌的sysmon為例，把sysmon日誌也同步過來。

首先我們在服務端上安裝好sysmon

裝好以後會在日誌目錄在出現sysmon日誌文件

我們可以先打開sysmon日誌看下，發現日誌比windows自帶日誌詳細很多

那我們下面來把sysmon日誌也同步過來

我們修改裝有splunk的forwarder的服務端的文件（默認為C:Program FilesSplunkUniversalForwarderetcsystemlocalInputs.conf）

添加如下數據

[WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml = true

修改完以後最好重啟一下，然後我們看下客戶端，發現能夠看到sysmon的日誌也同步過來了，能夠利用各種搜索語句便於我們後續的分析

PS：實際上，在win10、win8、win2012、win2016上面，是可以手動開啟4688進程記錄的，並且記錄詳細的命令信息。開啟方法如下

本地計算機策略-計算機配置-管理模板-系統-審核過程過程-啟用

本地計算機策略-windows設置-安全設置-高級審核策略配置-詳細跟蹤-開啟

然後我們在安全日誌裡面也能看到進程信息包括詳細的命令行了

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！