Ritik210303/splunk_spl_commands_guide

# 每个 SOC 分析师都应掌握的 21 个 Splunk SPL 命令 ## 概述 本项目是一份实用指南，涵盖了安全运营中心 (SOC) 分析师在进行日志分析、威胁狩猎、告警分诊和调查时常用的 **21 个基本 Splunk 搜索处理语言 (SPL) 命令**。 本项目的目标是展示关于 **Splunk SIEM** 的实操知识、实用的查询构建能力以及网络安全文档编写技能。 ## 项目目标 - 学习并练习核心的 Splunk SPL 命令 - 了解分析师如何搜索和调查日志 - 执行过滤、聚合和可视化操作 - 构建适合初学者的 SOC 参考指南 - 展示实用的网络安全技能 ## 展示技能 - Splunk 搜索处理语言 (SPL) - SIEM 基础知识 - 日志分析 - 威胁狩猎 - 安全监控 - 数据可视化 - 技术文档编写 ## 涵盖的命令 1. Index 2. Search Operators 3. Wildcard 4. Pipe Operator 5. Search 6. Fields 7. Dedup 8. Rename 9. Parentheses 10. Quote Operator 11. Table 12. Head 13. Tail 14. Sort 15. Reverse 16. Top 17. Rare 18. Highlight 19. Stats 20. Chart 21. Timechart ## SPL 查询示例 ### 按 Index 搜索日志 ``` index=windowslogs ``` ### 查找特定事件 ``` index=windowslogs EventID=4103 AccountName=James ``` ### Top 值 ``` index=windowslogs | top SourceName limit=5 ``` ### 按 User 统计 ``` index=windowslogs | stats count by AccountName ``` ### 基于时间的分析 ``` index=windowslogs | timechart count by Image ``` ## 包含的文件 ``` README.md Top_21_Splunk_SPL_Commands.pdf ``` ## 为什么这个项目很重要 理解 SPL 是一项非常有价值的技能，适用于： - SOC 分析师职位 - 安全监控 - 事件响应 - 威胁检测 - SIEM 运营 - 蓝队职业生涯 ## 未来改进 - 添加高级 SPL 检测规则 - 映射 MITRE ATT&CK 的查询 - PowerShell 滥用检测 - 威胁狩猎场景 ## 作者 **Ritik Patel** SOC - 威胁研究实习生

标签：AMSI绕过, BurpSuite集成, SIEM操作, SPL, 代码示例, 入门指南, 威胁检测, 子域枚举, 安全分析师, 安全运营, 扫描框架, 数字取证, 数据分析, 查询语言, 漏洞修复, 网络安全, 网络安全培训, 自动化脚本, 隐私保护