introduzione
Abbiamo trattato i fondamenti di base di Splunk per principianti. Abbiamo esplorato la raccolta dei dati attraverso diversi metodi incluso, ma non limitato al caricamento manuale. Questo faceva parte ProvaHackMe Splunk: nozioni di base
Componenti Splunk
Spedizioniere Splunk
Splunk Forwarder è un agente leggero installato sull'endpoint destinato a essere monitorato e il suo compito principale è raccogliere i dati e inviarli all'istanza Splunk. Non influisce sulle prestazioni dell'endpoint poiché richiede pochissime risorse per l'elaborazione. Alcune delle principali fonti di dati sono:
- Server Web che genera traffico web.
- Macchina Windows che genera registri eventi di Windows, PowerShelle dati Sysmon.
- Linux host che genera log incentrati sull'host.
- Database che genera richieste, risposte ed errori di connessione DB.
Indicizzatore Splunk
Splunk Indexer svolge il ruolo principale nell'elaborazione dei dati che riceve dagli spedizionieri. Prende i dati, li normalizza in coppie campo-valore, determina il tipo di dati e li memorizza come eventi. I dati elaborati sono facili da cercare e analizzare.
Testa di ricerca
Splunk Search Head è la posizione all'interno dell'app Ricerca e reporting in cui gli utenti possono effettuare ricerche nei registri indicizzati. Quando l'utente cerca un termine o utilizza un linguaggio di ricerca noto come Splunk Search Processing Language, la richiesta viene inviata all'indicizzatore e gli eventi rilevanti vengono restituiti sotto forma di coppie campo-valore.
Risposte alle sfide
Carica i dati allegati a questa attività e creare un indice "VPN_Logs". Quanti eventi sono presenti nel file di registro?
Quanti eventi registrati dall'utente Maleena vengono catturati?
Qual è il numero di eventi originati da tutti i paesi tranne la Francia?
Quanti eventi VPN sono stati osservati dall'IP 107.3.206.58?