Introducción
Cubrimos los fundamentos básicos de Splunk para principiantes. Exploramos la recopilación de datos a través de diferentes métodos que incluyen, entre otros, la carga manual. Esto fue parte de TryHackMe Splunk: Conceptos básicos
Componentes Splunk
Reenviador Splunk
Splunk Forwarder es un agente liviano que se instala en el punto final que se desea monitorear y su tarea principal es recopilar los datos y enviarlos a la instancia de Splunk. No afecta el rendimiento del endpoint ya que requiere muy pocos recursos para procesarlo. Algunas de las fuentes de datos clave son:
- Servidor web que genera tráfico web.
- Máquina Windows que genera registros de eventos de Windows, Potencia Shelly datos de Sysmon.
- linux host que genera registros centrados en el host.
- Base de datos que genera solicitudes, respuestas y errores de conexión a la base de datos.
Indexador Splunk
Splunk Indexer desempeña el papel principal en el procesamiento de los datos que recibe de los reenviadores. Toma los datos, los normaliza en pares de valor de campo, determina el tipo de datos y los almacena como eventos. Los datos procesados son fáciles de buscar y analizar.
Cabeza de búsqueda
Splunk Search Head es el lugar dentro de la aplicación Search & Reporting donde los usuarios pueden buscar los registros indexados. Cuando el usuario busca un término o utiliza un lenguaje de búsqueda conocido como lenguaje de procesamiento de búsqueda Splunk, la solicitud se envía al indexador y los eventos relevantes se devuelven en forma de pares de valor de campo.
Respuestas al desafío
Sube los datos adjuntos a esta tarea. y cree un índice “VPN_Logs”. ¿Cuántos eventos están presentes en el archivo de registro?
¿Cuántos eventos de registro por parte del usuario? maleena son capturados?
¿Cuál es el número de eventos que se originaron en todos los países excepto Francia?
¿Cuántos eventos VPN fueron observados por la IP 107.3.206.58?
