Splunk 501 安装和基本设定.docx
《Splunk 501 安装和基本设定.docx》由会员分享,可在线阅读,更多相关《Splunk 501 安装和基本设定.docx(30页珍藏版)》请在冰豆网上搜索。
Splunk501安装和基本设定
Splunk安裝設定
Splunk安裝的部份,有提供多系統的安裝。
以下的介紹用windows來做安裝和基本設定。
下載
主程式下載
官網:
http:
//zh-
本站載點:
32位元 64位元
安裝
點擊安裝檔後開始安裝,下圖為歡迎頁面。
相關協議,如果沒問題的話就選擇「Iacceptthetermsinthelicenseagreement」然後在選「Next」
選擇安裝的資料夾,若沒有特殊需求使用預設就行了
選擇登入項目,使用「Localsystemuser」就行了
安裝前最後確認,沒問題的話就按下「Install」
安裝過程中請稍後
安裝完成
登入
在安裝完成後會自動開啟網頁,在此部份會建議使用「GoogleChrome」或「Firefox」不建議使用IE,因為IE在HTML5和Flash的支援較差。
如果下次要登入
本機的部份可以直接在網址輸入「127.0.0.1:
8000或localhost:
8000」
外網的話就輸入「外網ip:
8000」,要記得防火牆要開通8000port才訪問的到網頁
登入時系統會提供帳號和密碼。
第一次登入時會要求更改密碼
下圖就是登入後的畫面了
設定
以下設定所使用到的檔案都在本站載點找到,請自行下載。
SplunkApp下載安裝
SplunkApp主要是用來與各種不同的log相互應用。
也就是假設今天我要分析VMware的log,我就可以先找到VMware的app後,在匯入要分析的log。
這樣一來,此log就會因為有此app更可以較準確的分析。
目前已經有300多種app可供使用
「應用程式」→「管理應用程式」
在APP應用程式找尋上,可分為「線上尋找」和「官網尋找」
若是使用線上尋找的話。
在點選「線上尋找更多應用程式」會看到下圖
可直接尋找,或使用右方的搜尋來找APP。
不過如果使用「線上尋找更多應用程式」找不到所需要的APP的話就請到官方網站來尋找,官網會有更多的APP。
若是直接使用「線上尋找更多應用程式」,找到該app後點選「安裝Free版本」,一樣會出現要輸入Splunk官網的會員帳密。
官網尋找
請先到官網http:
//splunk-
可直接點選所需要的app做下載,或直接使用右上方的搜尋來找需要的app
不過在官網下載app的話,需要先行註冊申請加入會員才可下載
在官網下載好app後,可使用「從檔案安裝應用程式」來將app裝上。
以下示範
(由於操作方便,以先行下載,可使用本站提供的檔案或自行到官網下載)
範例1.安裝CitrixNetscalerApp
檔案下載:
SplunkforCitrixNetScaler_v4.7.tgz
範例2.安裝F5SecurityApp
檔案下載:
SplunkforF5Security.tgz
(此範例還請自行練習,就不重覆說明)
1.點選「從檔案安裝應用程式」
2.點選「選擇檔案」找到SplunkforCitrixNetScaler_v4.7.tgz
「Upgradeapp.Checkingthiswilloverwritetheappifitalreadyexists」此項是在說,如果此APP已經存在的話是否要更新為該版本。
就依個人決定是否要打勾吧。
確定之後按下「上傳」
安裝完成後,會自動彈跳到此頁面
點選「應用程式」可查看是否安裝成功
點選「應用程式」後,會看到多出一個新的APP,那就表示安裝成功了。
匯入LOG資料
由於log總類非常多,Splunk基本上都可以處理。
Splunk預設支源的格式很多(如Key-Value,CSVwithheader,JSON,XML等…)都可自動解析。
以下就用兩個簡單的範例說明一下
範例1.匯入LOG資料 citrix-ns-full.log
檔案下載:
citrix-ns-full.log.zip
提示:
sourcetype要設定為ns_log
範例2.匯入LOG資料 f5-asm.log
檔案下載:
f5-asm.log.zip
提示:
sourcetype要設定為asm_log
(此範例還請自行練習,就不重覆說明)
範例3.匯入LOG資料 sample-log.csv
檔案下載:
smartwaf-sample-log.csv.zip
提示:
sourcetype要設定為smartwaf_log
(此範例還請自行練習,就不重覆說明)
在sourcetype(來源類型)的部份可以自行設定,這邊主要是為了後面的介紹方便而指定的。
回到主目錄,若不知怎麼回主目錄的話,可直接在網址重新輸入127.0.0.1:
8000
點選「新增資料」
LOG匯入的總類很多,之後可依自行需求而選擇。
不過在此範例中請選「檔案或檔案目錄」
接下來選擇檔案所在位置,由於已經先行下載到電腦中,因此就選第一個「取用此Splunk伺服器上的任何檔案」然後點下一步
詢問是否要預覽數據,選「Skippreview」略過並手動設定就行了。
因為有時用自動的話容易設定不正確。
接下來手動設定
1.請先選「上傳並檢索檔案」然後選到citrix-ns-full.log.zip
2.把「更多設定」打勾
3.在來源類型的部份,改成手動,並輸入ns_log
之後就可按下儲存
完成後會出現下圖。
如果還有其他資料要匯入可以選「新增更多資料」繼續匯入。
如果沒有就可點選「開始搜尋」
按下開始搜尋後會看到剛剛匯入的資料
LOG欄位設定(互動式資料擷取器)
此欄位設定,主要是怕預設所抓出來的沒有所需要的。
因此可以借由自行抓取欄位的方式,來增加LOG分析的能力。
用簡單的範例說明,如何「擷取」Clientip的欄位
在「來源類型」的部份選擇要設定的LOG類型
在下圖的部份,左下方是已經分類出來的欄位。
下方其他的部份為LOG記錄
如果在左下方沒有所需要的欄位時,可點該LOG後選「擷取欄位」
圈選要擷取的LOG資料後,可用拖曳的方式拉到上方的「欄位的範例值」,在這邊請記得一行一個數值,盡量多一點才會抓取的比較正確。
完成後點選「產生」
接下來在左下方會出現,以抓取到的資料。
可針對這些資料做「編輯」、「測試」、「儲存」,如果都完成後就點選儲存。
輸入該欄位的名稱
儲存完成,可選「關閉」或「管理擷取結果」
若是選擇「管理擷取結果」會出現所有的已擷取到的資料。
並且可以設定相關權限
若按下「關閉」就會回到該LOG頁面,此時會在左下方看到剛剛新增的「Clientip」資料。
如果沒出現的話可重新整理頁面就會出現了。
以下還有五種欄位的擷取練習,有興趣的可以自行練習。
Hostname
Method
Uri
Action
Request_type
Splunk搜尋指令組合運用
在搜尋指令的運用上,可以結合布林代數一同使用。
布林代數AND、OR和NOT(請注意在使用上都必須為大寫,否則不視為指令)
指令範例:
errorANDfailORfailedNOTfailure
執行:
關鍵字AND關鍵字OR關鍵字NOT (可累加使用)
參考資料:
官網 官網-所有命令搜尋 官網-熱門指令
Splunk-5.0.1-SearchReferencePDF:
官網載點 本站載點
布林代數搜尋指令組合運用
萬用字*與quotationmark“”與()
例:
fail*AND“Yes,wecan”OR(errorANDfail)
執行關鍵字*包括接續的全部AND”字串片語”OR(子搜尋)
以上可巢狀多層使用
例:
1.httpANDerrorNOT(403OR404)
2.“purchase”OR“cart”
以下有一個練習題 有興趣的可以自己玩玩看(由於表示方式很多這邊就不提供答案)
1.搜尋阻擋的存取行為
2.找出被阻擋最多次的前十大IP
3.找出被阻擋的URL以及被阻擋的次數
建立儀表板/組合頁面
在設定儀表板的方式有很多種,這麼就簡單介紹一種。
先在搜尋列輸入要找尋的指令,在下方會出現該指令所要找尋的資料,然後在點選右上方的「建立」→「Dashboardpanel…」
輸入此面板的名稱
在儀表板的部份,如果都還沒設過的話可選「新增儀表板名稱」輸入名稱。
如果已經有現成的話可選下方的「現有儀表板」
設定面板標題、視覺化(此部份有多種項目能選擇),還有設定排程(多少搜尋一次)
新增完成
查看儀表板,可點選左上方的「儀表板和檢視」→「01(選擇剛剛新增的儀表板名稱)」
以下就是新產生的儀表板。
如果要編輯或修改板位的話,可點選右上方的「開」。
然後會看到每一個面板都會多出「編輯」的字樣。
點選後就可做相關的設定。
也可使用拖曳的方式修改面板的位置。
在面板的設定上是三排。
第一排最多3個面板,第二排最多2個面板,第三排就只能有1個面板。