HoodyK5/DNS-Log-Analysis-Splunk-SIEM

# **使用 Splunk SIEM 进行 DNS 日志分析** # **项目概述：** 本项目演示了如何在家庭实验室环境中**使用 Splunk SIEM 收集、转发和分析 DNS 日志**。 在 **Ubuntu 虚拟机**上配置了 DNS 服务器，并使用 **Splunk Universal Forwarder** 将日志转发到**运行在 Windows 主机系统上的 Splunk Enterprise**。 其目的是监控 DNS 流量、识别可疑查询并执行安全分析。 # **实验室架构：** Ubuntu VM (BIND9 DNS 日志) ↓ Splunk Universal Forwarder ↓ Windows 主机 (Splunk Enterprise) # **使用的技术：** 1. Splunk Enterprise 2. Splunk Universal Forwarder 3. Ubuntu Linux 虚拟机 4. Oracle VirtualBox 5. BIND9 DNS 服务器 6. Windows 主机 7. GitHub # **项目设置：** **1. Splunk Enterprise 设置** 安装了 Splunk Enterprise 启用接收端口： 9997 **2. Ubuntu 虚拟机设置：** 安装了所需的软件包： sudo apt update sudo apt install bind9 dnsutils -y **3. 启用 DNS 日志记录：** 配置了 BIND9 查询日志： /var/cache/bind/query.log **4. 配置 Splunk Forwarder：** 添加监控： sudo /opt/splunkforwarder/bin/splunk add monitor /var/cache/bind/query.log 添加转发服务器： sudo /opt/splunkforwarder/bin/splunk add forward-server :9997 重启 Forwarder： sudo /opt/splunkforwarder/bin/splunk restart 🌐 **生成的 DNS 流量** nslookup google.com 127.0.0.1 nslookup facebook.com 127.0.0.1 nslookup youtube.com 127.0.0.1 nslookup maliciousdomain.com 127.0.0.1 🔎 **Splunk 搜索查询：** **查看 DNS 事件** index=* "query:" **查询最多的域名** index=* "query:" | rex field=_raw "query:\s(?[^\s]+)" | top domain **按域名计数** index=* "query:" | rex field=_raw "query:\s(?[^\s]+)" | stats count by domain **搜索可疑域名** index=* maliciousdomain.com 📊 **安全发现：** ✅ 成功将 DNS 日志集中到 Splunk ✅ 识别了查询最多的域名 ✅ 检测到了可疑的域名请求 ✅ 增强了用于 SOC 监控的 DNS 可见性 ✅ 演示了真实的 SIEM 工作流 📸 **截图：** 请查看 /screenshots 文件夹中的每张截图： * splunk-dashboard.png * dns-query-results.png * top-domains.png * suspicious-domain.png * ubuntu-dns-log.png 🎯 **学习成果** 本项目帮助我了解了： * SIEM 基础知识 * 日志转发架构 * DNS 威胁监控 * Splunk SPL 查询 * SOC 分析师工作流 👨‍💻 **作者：** Thajul Akber 网络安全爱好者 | SOC 分析师 | 网络安全分析师 | 渗透测试员

标签：AMSI绕过, BIND9, DNS日志分析, DNS服务器, DNS流量监控, Home Lab, Oracle VirtualBox, Splunk Enterprise, Splunk Universal Forwarder, SPL查询, 威胁检测, 安全信息与事件管理, 安全实验环境, 安全运营, 家庭实验室, 恶意域名检测, 扫描框架, 搜索引擎爬取, 日志收集, 日志转发, 网络安全, 虚拟化, 隐私保护