Introduction
Nous avons couvert les principes fondamentaux de Splunk pour les débutants. Nous avons exploré la collecte de données à travers différentes méthodes, notamment le téléchargement manuel. Cela faisait partie de TryHackMe Splunk : les bases
Composants Splunk
Transitaire Splunk
Splunk Forwarder est un agent léger installé sur le point de terminaison destiné à être surveillé, et sa tâche principale est de collecter les données et de les envoyer à l'instance Splunk. Cela n’affecte pas les performances du point de terminaison car son traitement nécessite très peu de ressources. Certaines des principales sources de données sont :
- Serveur Web générant du trafic Web.
- Machine Windows générant des journaux d'événements Windows, PowerShellet les données Sysmon.
- Linux l'hôte génère des journaux centrés sur l'hôte.
- Base de données générant des demandes de connexion, des réponses et des erreurs à la base de données.
Indexeur Splunk
Splunk Indexer joue le rôle principal dans le traitement des données qu'il reçoit des transitaires. Il prend les données, les normalise en paires champ-valeur, détermine le type de données des données et les stocke sous forme d'événements. Les données traitées sont faciles à rechercher et à analyser.
Tête de recherche
Splunk Search Head est l'endroit au sein de l'application Search & Reporting où les utilisateurs peuvent rechercher les journaux indexés. Lorsque l'utilisateur recherche un terme ou utilise un langage de recherche appelé Splunk Search Processing Language, la requête est envoyée à l'indexeur et les événements pertinents sont renvoyés sous la forme de paires champ-valeur.
Réponses au défi
Téléchargez les données jointes à cette tâche et créez un index « VPN_Logs ». Combien d’événements sont présents dans le fichier journal ?
Combien d'événements de journalisation par l'utilisateur Maleena sont capturés ?
Quel est le nombre d’événements provenant de tous les pays sauf la France ?
Combien d'événements VPN ont été observés par l'IP 107.3.206.58 ?