modsecurity to splunk

Jan 20, 2019 00:00 · 364 words · 1 minute read splunk

0x00 简介

Splunk是一个托管的日志文件管理工具,它的主要功能包括:

日志聚合功能

搜索功能

提取意义

对结果进行分组,联合,拆分和格式化

可视化功能

电子邮件提醒功能

0x01基础环境准备

数据转发和接收,方便远程审计
192.168.0.105 dvwa client

192.168.0.157 splunk server

服务端安装配置

tar zxvf splunk-7.0.0-c8a78efdd40f-Linux-x86_64.tgz
cd /splunk/bin
./splunk start --accept-license
./splunk enable boot-start 

http://192.168.0.157:8000 
admin/changeme
许可证修改为free

./splunk enable deploy-client 服务端开启转发许可

客户端安装配置

cd splunkforwarder/bin/
./splunk start

./splunk enable boot-start  配置自动启动
chkconfig splunk on 
 ./splunk set deploy-poll 192.168.0.157:8089	#设置server机器的ip和端口
这里要输入账号密码admin/changeme
./splunk add forward-server 192.168.0.157:9997	#添加一台转发的服务器 ip是服务器的地址 端口 9997 删除 add替换 remove
./splunk list forward-server #列出服务器地址
./splunk add monitor /var/log/httpd/access_log -index main -sourcetype access_combined #监听路径
./splunk list monitor #列出日志清单

web设置

web页面->设置->转发和接收->接收数据->配置接收->新建->监听9997

重启两边服务

./splunk restart

搜索语句后面再补