我在 Splunk 中使用 PCRE2 (PHP >=7.3)。我的数据主要以回车符/换行符分隔,次要以逗号分隔,作为键/值对。 key1="value1",key2="value2",key3="value3",key4="...等等。每个事件的键值对数量各不相同,我希望能够捕获任意数量的键值,但为了做到这一点,我需要动态命名这些值。例如,的值key1将成为的字段名称value1,key2将成为的字段名称value2,等等,只要找到尽可能多的键/值对。 (.*?)\=\"(.*?)\"是我所能得到的,但 Splunk 要求对字段提取进行命名。 有没...
我有一个继承的(有时仍在更新)工作簿,其中包含许多工作表(当前超过 50 个)。 每个选项卡都有一个表格,格式如下: segment_name | subsegment | subnet | ipaddress ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ASD | ASD-FGH | 10.10.10 | 10.10.10.17-40 | ASD-JKL | 192.168.100 | 192.16...
我是 Splunk 的新手,正在监控 BitLocker 进程。我想知道我是否可以利用任何 Windows 安全日志来检查是否有人启用了 BitLocker 来加密文件或磁盘。此外,我想监控是否有人删除了 ActiveDirectory 上的 BitLocker 恢复密钥。 ...
我想知道是否有人考虑过 BitLocker 可用作勒索软件的情景。 例如,如果黑客被授予系统访问权限,并使用 BitLocker 加密磁盘。 有没有办法使用 Splunk 等 SIEM 工具来预防或检测这种威胁? ...
假设我在 Splunk 中有以下事件(按时间顺序排列): 操作员=zeroPointModule id=123 动作=开始 操作员=foobar id=123 动作=开始 操作员=zeroPointModule id=123 动作=停止 操作员=zeroPointModule id=123 动作=停止 (是的,它停止了两次,或者可以重新启动。请不要对事件的顺序做出任何假设。) 我想要获取 (1) 和 (3) 发生时的所有事件。例如: 操作员 = zeroPointModule id = 123 (动作 = 启动然后动作 = 停止) 我不太关心输出(两...
我安装了 Splunk Enterprise 8 splunk-8.0.0-1357bef0a7f6-linux-2.6-x86_64.rpm,但由于空间不足,我连接了新的 50GB 硬盘并创建了一个分区并将其挂载在上面/opt。然后我将所有数据从旧硬盘/opt移到新/opt硬盘,但是当我尝试重新启动 splunk 服务时,systemctl restart splunk我收到了此错误消息: /opt/splunk/bin/splunkd: error while loading shared libraries: libmongoc-1.0.so.0...
攻击者可能会使用 InstallUtil 通过受信任的 Windows 实用程序代理代码执行。它还可以通过使用二进制文件中的属性来执行用该属性修饰的类,从而绕过进程白名单。 如何使用进程监控来监控我组织内 InstallUtil.exe 的执行和参数? 例如,通过使用 splunk 或在 Active Directory 中创建 GPO? 参考:https://docs.microsoft.com/en-us/dotnet/framework/tools/installutil-exe-installer-tool ...
我正在使用 RHEL 6.10 并使用 Splunk CLI 查找“事务”(结果组)。它正在搜索rtvscand日志行。 /opt/splunk/bin/splunk search \ 'syslog_source=rtvscand | transaction host syslog_source startswith="Scan started" endswith="Scan Complete"' 搜索返回一组连续打印的结果,如我的第一组输出行所示。我希望每个单独的结果(在本例中为每笔交易)都用空行分隔,如我的第二组输出行所示,因为交易的...
我正在尝试获取 GET 请求的目录路径,并使用此捕获正则表达式在 Splunk 中对其进行计数。 index=main sourcetype="access_combined_wcookie" | rex "(?i)\"GET /(?P<MYDIR>\w+)/" | timechart count by MYDIR 这种方法很管用。它抓取顶级目录的名称并按预期按时间汇总,但它还将 HEAD 请求显示为“NULL”或“OTHER”。 正则表达式在 perl 和 Python 中均按预期工作(即,它与 HEAD 请求不匹配。)有人知道我必须...
我正在尝试使用 Puppet 自动配置 Splunk 监控。这涉及将文件路径列表添加到 Splunk 配置文件 (inputs.conf)。 我们的应用程序中的每个角色(web 服务器、db 等)都有自己的 Puppet 模块,其中包括一些所有角色共有的基础模块。 受监控的文件会因角色而异 - 对于 Web 服务器,我们希望监控 /var/log/nginx/error.log。对于数据库服务器,我们希望监控 /var/log/postgresql/postgresql.log。有些文件 (/var/log/syslog) 应该针对每个角色进行监控。 ...
我有一个简单的 Splunk 设置。大约 120 台左右的 Linux 服务器(基本上都是设备),安装了通用转发器,还有一台运行 Splunk Enterprise 的 Linux 服务器充当索引器、搜索头等。 我遇到的问题是转发器必须将服务器的审计日志输入到 Splunk。该输入实际上工作正常,但它会淹没服务器,导致我超出许可限制。 具体来说,设备应用程序在 cron 中有一个运行频率很高的事件,它用文件访问、文件修改等事件充斥审计日志,这导致我发送给 Splunk Enterprise 的数据量激增。我根本不需要这些数据。 我想做...
我对 syslog-ng 还很陌生,并且遇到了以下问题。 我有一个 Checkpoint 防火墙,它会将日志发送到 Splunk 服务器。由于防火墙发送的数据量巨大,我试图过滤掉不需要的日志。由于防火墙和 Splunk 都无法做到这一点,我现在将防火墙日志发送到 syslog-ng 服务器,该服务器会过滤掉不需要的消息,并通过 Splunk-forwarder 将其余日志转发给 Splunk。 Syslog-ng 服务器上的日志定义如下所示: log { source { network(transport(tcp) port(12001) fla...
我已经按照本指南在我的机器上本地设置了通用转发器 https://splunk.paloaltonetworks.com/universal-forwarder.html /opt/splunkforwarder/etc/system/local/inputs.conf [monitor:///var/log/udp514.log] sourcetype = pan:log disabled =0 /opt/splunkforwarder/etc/system/local/outputs.conf [tcpout] defaultGroup = defau...
Splunk Universal 转发 Windows Server 2019 配置转发器时,可以转发多种日志: 应用程序日志 安全日志 系统日志 转发事件日志 设置日志 此外,性能监视器还可以记录: CPU 负载 记忆 磁盘空间 网络统计 此外,还可以启用 Active Directory 监控。 尽管很想检查所有框以便在故障排除期间可以获得最大数据,但我担心这会对服务器性能产生影响。 这里有没有什么最佳实践?转发所有内容可以吗?或者最好省略哪些内容? ...