arjunrajeevpillai/soc-home-lab

# SOC 家庭实验室 使用 Splunk Enterprise 构建一个集中式日志摄入与分析管道，将日志从 Kali Linux 转发到托管在 Windows 上的 Splunk 服务器。 ## 02 Splunk Enterprise — 日志分析管道 **目标：** 使用 Splunk Enterprise 构建一个集中式日志摄入与分析管道，将日志从 Kali Linux 转发到托管在 Windows 上的 Splunk 服务器。 **环境：** - Splunk Enterprise v10.0.1 (Windows, 64-bit) - Splunk 通用转发器 v9.3.2 (Kali Linux) - 日志源: `/var/log/auth.log`, `/var/log/syslog` **我的构建成果：** - 在 Windows 上安装了 Splunk Enterprise 并配置了接收端口 9997 - 在 Kali Linux 上部署了通用转发器并配置了日志监控 - 构建了用于实时安全监控和事件关联的 SPL 查询 - 开发了用于源类型分析以及启动/身份验证日志调查的仪表板 **使用的 SPL 查询：** ``` # 按 sourcetype 计数事件 index=* host="vbox" | stats count by sourcetype # 按频率排名前 10 的 sourcetypes index=* host="vbox" | top sourcetype limit=10 # 筛选 boot/startup 事件 index=* host="vbox" sourcetype="syslog" "boot" # 身份验证失败分析 index=* host="vbox" sourcetype="auth" "Failed password" | stats count by src_ip | sort -count # 可疑的 sudo 使用 index=* host="vbox" sourcetype="syslog" sudo | timechart count span=5m ``` **主要成果：** - 成功从异构环境中摄入了身份验证、系统日志和启动日志 - 在日志数据中识别出了身份验证异常和权限提升模式 - 构建了支持实时 SOC 风格监控的仪表板 **工具：** Splunk Enterprise 10.0.1, Splunk 通用转发器, Kali Linux, Windows

标签：Kali日志收集, OISF, Splunk企业版, Splunk通用转发器, Splunk配置, SPL查询, Windows操作系统, Windows日志服务, 事件关联, 仪表板开发, 安全日志分析, 异常检测, 日志摄取, 日志管理, 日志转发, 权限提升检测, 网络安全, 认证分析, 隐私保护, 集中式日志系统