使用Splunk工具分析Windows日志和Apache日志

最新推荐文章于 2025-05-26 13:23:19 发布

山风，

最新推荐文章于 2025-05-26 13:23:19 发布

阅读量1.3k

点赞数 3

CC 4.0 BY-SA版权

分类专栏：日志审计文章标签： windows 网络安全

本文链接：https://blog.csdn.net/XYZCG/article/details/134029536

日志审计专栏收录该内容

2 篇文章

订阅专栏

本文介绍了如何使用Splunk工具分别分析Windows7和Linux中Apache日志，涉及实验步骤、搜索方法、布尔运算符和字段筛选，展示了Splunk的强大日志分析功能。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

【实验目的】

了解Splunk分析windows日志与linux中Apache日志的方法。

【知识点】

Splunk，日志分析。

【实验原理】

Splunk是一款更能强大的、记录详细的日志分析软件，能处理常见的日志格式，比如Apache、Squid、系统日志、邮件日志等，可对所有日志先进行索引然后可以交叉查询，支持复杂的查询语句，最后通过直观的方式表现出来。待监控服务器日志可以通过文件方式传送到Splunk服务器，也可以通过网络实时传输过去，还可以进行分布式的日志收集，这种方式使用起来比较方便。

【实验目标】

1.使用Splunk分析Windows7日志。
2.使用Splunk分析Linux中Apache日志。

【实验步骤】

1.使用Splunk分析Windows7日志。

打开Splunk，弹出的web界面中点击继续。
在这里插入图片描述
点击Splunk中的“添加数据”。

可以看到Splunk默认支持的日志种类很多，包括多数运维人员平时工作所需要分析的那些日志类型，这里选择“Windows事件日志”

选择“从此Splunk服务器收集Windows事件日志”，单击“下一步”
在这里插入图片描述
索引选择“history”，可用的日志有多个，可以选择其中的一个或者多个，这里选择“Security”，单击“保存”。

单击“开始搜索”。

可以看到索引的事件共有1040个，同时列出了最早和最晚事件的事件，有三大块内容，分别是数据源、来源类型以及主机，这里单击数据源数据。

在这里插入图片描述
进到搜索仪表盘，搜索命令为“source=“WinEventLog:Security””，即数据来源为WinEventLog:Security，在该仪表盘上，还包含其他内容，如事件记录、时间轴、字段菜单以及搜索到的事件列表或搜索结果。

匹配及扫描事件：在搜索中，Splunk在搜索时将显示两组事件记录：一组为匹配事件记录，另一组为已扫描事件记录。搜索完成后，时间轴上方的记录显示的是匹配事件的总数，时间轴下方事件列表上方的记录显示用户所选时间范围内的事件数目。
事件的时间轴：时间轴能直观地显示每一时刻发生的事件。当时间轴随着搜索结果不断更新时，注意条状图案，每一条状图案的高度表示时间记录。时间轴的峰值和谷值可表示活动高峰期或服务器停机。因此，时间轴可有效用于强调时间模式或调查各事件活动的高峰期和低谷期。时间轴选项位于时间轴上方，可以放大或者缩小时间轴图表。
字段菜单：当将数据编入索引时，Splunk可自动按名称和值的格式自动识别并生成数据信息，这称作字段。当运维人员进行搜索时，Splunk可把其从字段菜单上识别的所有字段列在搜索结果旁边。运维人员可以选择其他字段来显示搜索的事件。所选字段都已被设置为搜索结果可见格式。将默认显示主机、源及源类型。其他字段是Splunk从搜索结果中抽取的。
事件查看器：事件查看器将显示Splunk搜索到的与运维人员的搜索匹配的事件。事件查看器位于时间轴下方。事件默认显示为列表，也可以选用表格查看，选择按表格形式查看事件时，表格只显示已选字段。

在这里插入图片描述

2.使用Splunk分析Linux中Apache日志。

单击“摘要”，单击“添加更多数据”。
在这里插入图片描述
选择“文件或文件目录”。

在这里插入图片描述
选择“使用此Splunk服务器上的任何文件”，单击“下一步”。

文件路径为C:\Users\Administrator\Desktop\access_log，单击“继续“。

应用现有来源类型，选择access_combined，单击“继续“。

在这里插入图片描述
单击“继续”。

将主机字段值改为linux，其他默认，单击“保存”。（保存选项在最下方）

单击“开始搜索“。得到如下结果。单击刚刚添加的数据源。

日志信息如下。
在这里插入图片描述
若要搜索日志中IP地址为192.168.1.2的数据，可在数据源后面（要加空格）添加IP地址192.168.1.2，单击搜索按钮，可筛选出相关的数据，可以看到，匹配条数从94变为29，搜索框内数据为source=“C:\Users\Administrator\Desktop\access_log”192.168.1.2。
在这里插入图片描述
Apache服务器日志中发现大部分事件的状态码为200，它代表“成功”，若要找出IP地址为192.168.1.2、状态码不是200的日志数据，可使用布尔运算符查找数据，搜索条件如下，可看到匹配条数骤减到5，搜索框内内容为source=“C:\Users\Administrator\Desktop\access_log” 192.168.1.2 NOT 200。

在这里插入图片描述
使用布尔运算符可以进行搜索的信息很多，Splunk支持的布尔运算符有：与、或和非。则上一步骤的搜索与下述语句相同。当搜索中含有布尔表达式时，运算符必须全部大写，搜索框内容为source=“C:\Users\Administrator\Desktop\access_log” AND 192.168.1.2 AND NOT 200。

在这里插入图片描述
使用下面的语句利用字段进行搜索，搜索IP地址为192.168.1.2、method为POST的日志记录。搜索框内容为source=“C:\Users\Administrator\Desktop\access_log” 92.168.1.2 method=“POST”。

在这里插入图片描述
将搜索条件改为最初条件，如下，对于导入的日志数据，可以对其进行导出，单击“导出”，在弹出的对话框中可对导出结果进行命名，格式可以选择CSV、原始事件、XML或者JSON，搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。
在这里插入图片描述
还可以对日志数据创建仪表板面板、报表、事件类型。