Einführung
Wir haben die grundlegenden Grundlagen von Splunk für Anfänger behandelt. Wir haben die Datenerfassung mit verschiedenen Methoden untersucht, einschließlich, aber nicht beschränkt auf, manuelles Hochladen. Dies war Teil von TryHackMe Splunk: Grundlagen
Splunk-Komponenten
Splunk-Weiterleitung
Splunk Forwarder ist ein leichtgewichtiger Agent, der auf dem zu überwachenden Endpunkt installiert wird. Seine Hauptaufgabe besteht darin, die Daten zu sammeln und an die Splunk-Instanz zu senden. Die Leistung des Endpunkts wird dadurch nicht beeinträchtigt, da für die Verarbeitung nur sehr wenige Ressourcen benötigt werden. Einige der wichtigsten Datenquellen sind:
- Webserver, der Web-Verkehr generiert.
- Windows-Rechner, der Windows-Ereignisprotokolle generiert, Power Shellund Sysmon-Daten.
- Linux Host, der hostzentrierte Protokolle generiert.
- Datenbank, die DB-Verbindungsanforderungen, -antworten und -fehler generiert.
Splunk-Indexer
Splunk Indexer spielt die Hauptrolle bei der Verarbeitung der Daten, die er von Weiterleitungen erhält. Er nimmt die Daten, normalisiert sie in Feld-Wert-Paare, bestimmt den Datentyp der Daten und speichert sie als Ereignisse. Verarbeitete Daten lassen sich leicht durchsuchen und analysieren.
Suchkopf
Splunk Search Head ist der Ort innerhalb der Search & Reporting App, an dem Benutzer die indexierten Protokolle durchsuchen können. Wenn der Benutzer nach einem Begriff sucht oder eine Suchsprache namens Splunk Search Processing Language verwendet, wird die Anfrage an den Indexer gesendet und die relevanten Ereignisse werden in Form von Feld-Wert-Paaren zurückgegeben.
Antworten auf die Herausforderungen
Laden Sie die dieser Aufgabe beigefügten Daten hoch und erstellen Sie einen Index „VPN_Logs“. Wie viele Ereignisse sind in der Protokolldatei vorhanden?
Wie viele Log-Ereignisse durch den Benutzer Maleena werden erfasst?
Wie hoch ist die Anzahl der Ereignisse, die aus allen Ländern außer Frankreich stammen?
Wie viele VPN-Ereignisse wurden von der IP 107.3.206.58 beobachtet?