مقدمة
لقد قمنا بتغطية الأساسيات الأساسية لـ Splunk للمبتدئين. لقد استكشفنا جمع البيانات من خلال طرق مختلفة بما في ذلك، على سبيل المثال لا الحصر، التحميل اليدوي. كان هذا جزءًا من TryHackMe Splunk: الأساسيات
مكونات سبلانك
سبلانك معيد التوجيه
Splunk Forwarder هو وكيل خفيف الوزن يتم تثبيته على نقطة النهاية بغرض مراقبته، وتتمثل مهمته الرئيسية في جمع البيانات وإرسالها إلى مثيل Splunk. ولا يؤثر ذلك على أداء نقطة النهاية نظرًا لأن معالجتها تتطلب عددًا قليلًا جدًا من الموارد. بعض مصادر البيانات الرئيسية هي:
- خادم الويب يولد حركة المرور على شبكة الإنترنت.
- يقوم جهاز Windows بإنشاء سجلات أحداث Windows، بوويرشيلوبيانات سيسمون.
- لينكس يقوم المضيف بإنشاء سجلات تتمحور حول المضيف.
- قاعدة بيانات تولد طلبات اتصال قاعدة البيانات والاستجابات والأخطاء.
مفهرس سبلانك
يلعب Splunk Indexer الدور الرئيسي في معالجة البيانات التي يتلقاها من معيدي التوجيه. فهو يأخذ البيانات، ويقوم بتطبيعها في أزواج قيمة الحقل، ويحدد نوع بيانات البيانات، ويخزنها كأحداث. من السهل البحث عن البيانات المعالجة وتحليلها.
رأس البحث
Splunk Search Head هو المكان داخل تطبيق البحث وإعداد التقارير حيث يمكن للمستخدمين البحث في السجلات المفهرسة. عندما يبحث المستخدم عن مصطلح أو يستخدم لغة بحث تُعرف باسم لغة معالجة البحث Splunk، يتم إرسال الطلب إلى المفهرس ويتم إرجاع الأحداث ذات الصلة في شكل أزواج قيمة الحقل.
إجابات التحدي
قم بتحميل البيانات المرفقة بهذه المهمة وقم بإنشاء فهرس "VPN_Logs". كم عدد الأحداث الموجودة في ملف السجل؟
كم عدد أحداث السجل من قبل المستخدم مالينا تم القبض عليهم؟
ما هو عدد الأحداث التي نشأت من جميع الدول باستثناء فرنسا؟
كم عدد أحداث VPN التي تمت ملاحظتها بواسطة IP 107.3.206.58؟
