我正在优化和调整我的 EC2 syslog-ng 服务器的大小,并在我们的 ansible playbook 中为“内部”数据中心机器上使用的内核设置保留一些设置。(以前我们也在 DC 中使用 syslog-ng,而现在我们正在使用SC4S) 具体相关net.core.netdev_max_backlog: Redhat 门户指出默认值为 1000,但我们目前将其设置为 65536,并且我没有任何记录表明为什么或从何处得出该建议。 我在这里和 Redhat 门户上找到了很多关于测试和增加此设置的有用文章,但是这个设置得太高会有什么影响? 内核参数 - net...
有没有什么办法可以让我的日志有 ANSI 颜色输出并且在 splunk 中使用它们? 要么让 splunk 显示颜色(理想但可能性极小)要么在 splunk 上应用过滤器来删除转义序列? ...
我正在设置一个 ubuntu 服务器(版本 22.04),以便我可以在其上放置 Splunk 的通用转发器并将 FortiGate 流量重定向到 SIEM(Splunk)。 我总共使用了 6 台虚拟机,所有这些虚拟机都通过 Lan 段和 IP 集成连接。 这是目前的网络图 Forwarder: 10.0.1.1/24 fortigate: 10.0.1.254/24 Splunk server: 10.0.1.3/24 我应该将 SIEM 设置为转发器的子网,将 fortigate 设置为名称服务器和网关。但是,它返回此错误: 我无法理解这似乎是什么错误...
我在 Splunk 中使用 PCRE2 (PHP >=7.3)。我的数据主要以回车符/换行符分隔,次要以逗号分隔,作为键/值对。 key1="value1",key2="value2",key3="value3",key4="...等等。每个事件的键值对数量各不相同,我希望能够捕获任意数量的键值,但为了做到这一点,我需要动态命名这些值。例如,的值key1将成为的字段名称value1,key2将成为的字段名称value2,等等,只要找到尽可能多的键/值对。 (.*?)\=\"(.*?)\"是我所能得到的,但 Splunk 要求对字段提取进行命名。 有没...
我有一个继承的(有时仍在更新)工作簿,其中包含许多工作表(当前超过 50 个)。 每个选项卡都有一个表格,格式如下: segment_name | subsegment | subnet | ipaddress ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ASD | ASD-FGH | 10.10.10 | 10.10.10.17-40 | ASD-JKL | 192.168.100 | 192.16...
我是 Splunk 的新手,正在监控 BitLocker 进程。我想知道我是否可以利用任何 Windows 安全日志来检查是否有人启用了 BitLocker 来加密文件或磁盘。此外,我想监控是否有人删除了 ActiveDirectory 上的 BitLocker 恢复密钥。 ...
我想知道是否有人考虑过 BitLocker 可用作勒索软件的情景。 例如,如果黑客被授予系统访问权限,并使用 BitLocker 加密磁盘。 有没有办法使用 Splunk 等 SIEM 工具来预防或检测这种威胁? ...
假设我在 Splunk 中有以下事件(按时间顺序排列): 操作员=zeroPointModule id=123 动作=开始 操作员=foobar id=123 动作=开始 操作员=zeroPointModule id=123 动作=停止 操作员=zeroPointModule id=123 动作=停止 (是的,它停止了两次,或者可以重新启动。请不要对事件的顺序做出任何假设。) 我想要获取 (1) 和 (3) 发生时的所有事件。例如: 操作员 = zeroPointModule id = 123 (动作 = 启动然后动作 = 停止) 我不太关心输出(两...
我安装了 Splunk Enterprise 8 splunk-8.0.0-1357bef0a7f6-linux-2.6-x86_64.rpm,但由于空间不足,我连接了新的 50GB 硬盘并创建了一个分区并将其挂载在上面/opt。然后我将所有数据从旧硬盘/opt移到新/opt硬盘,但是当我尝试重新启动 splunk 服务时,systemctl restart splunk我收到了此错误消息: /opt/splunk/bin/splunkd: error while loading shared libraries: libmongoc-1.0.so.0...
攻击者可能会使用 InstallUtil 通过受信任的 Windows 实用程序代理代码执行。它还可以通过使用二进制文件中的属性来执行用该属性修饰的类,从而绕过进程白名单。 如何使用进程监控来监控我组织内 InstallUtil.exe 的执行和参数? 例如,通过使用 splunk 或在 Active Directory 中创建 GPO? 参考:https://docs.microsoft.com/en-us/dotnet/framework/tools/installutil-exe-installer-tool ...
我正在使用 RHEL 6.10 并使用 Splunk CLI 查找“事务”(结果组)。它正在搜索rtvscand日志行。 /opt/splunk/bin/splunk search \ 'syslog_source=rtvscand | transaction host syslog_source startswith="Scan started" endswith="Scan Complete"' 搜索返回一组连续打印的结果,如我的第一组输出行所示。我希望每个单独的结果(在本例中为每笔交易)都用空行分隔,如我的第二组输出行所示,因为交易的...
我正在尝试获取 GET 请求的目录路径,并使用此捕获正则表达式在 Splunk 中对其进行计数。 index=main sourcetype="access_combined_wcookie" | rex "(?i)\"GET /(?P<MYDIR>\w+)/" | timechart count by MYDIR 这种方法很管用。它抓取顶级目录的名称并按预期按时间汇总,但它还将 HEAD 请求显示为“NULL”或“OTHER”。 正则表达式在 perl 和 Python 中均按预期工作(即,它与 HEAD 请求不匹配。)有人知道我必须...
我正在尝试使用 Puppet 自动配置 Splunk 监控。这涉及将文件路径列表添加到 Splunk 配置文件 (inputs.conf)。 我们的应用程序中的每个角色(web 服务器、db 等)都有自己的 Puppet 模块,其中包括一些所有角色共有的基础模块。 受监控的文件会因角色而异 - 对于 Web 服务器,我们希望监控 /var/log/nginx/error.log。对于数据库服务器,我们希望监控 /var/log/postgresql/postgresql.log。有些文件 (/var/log/syslog) 应该针对每个角色进行监控。 ...
我有一个简单的 Splunk 设置。大约 120 台左右的 Linux 服务器(基本上都是设备),安装了通用转发器,还有一台运行 Splunk Enterprise 的 Linux 服务器充当索引器、搜索头等。 我遇到的问题是转发器必须将服务器的审计日志输入到 Splunk。该输入实际上工作正常,但它会淹没服务器,导致我超出许可限制。 具体来说,设备应用程序在 cron 中有一个运行频率很高的事件,它用文件访问、文件修改等事件充斥审计日志,这导致我发送给 Splunk Enterprise 的数据量激增。我根本不需要这些数据。 我想做...