SecDhanush/Linux-Log-Centralization-and-Splunk-SIEM-Analysis

# 集中式端点 Linux 日志监控与 SIEM 分析 ## 项目概述 此部署建立了一个企业级的集中式日志收集和安全监控框架。通过在 **Ubuntu Server** 节点上配置 **Splunk Universal Forwarder**，将关键的操作系统日志、身份验证事件以及容器化 Web 应用流量实时安全地转发到集中式的 **Splunk Enterprise** 索引器，以进行主动的威胁狩猎和实现持续的可见性。 ## 技术架构与流程 1. **端点节点：** Ubuntu Server 生成内部系统日志 (`/var/log/syslog`) 和身份验证记录 (`/var/log/auth.log`)。 2. **容器安全：** 通过 Docker 托管 **DVWA (Damn Vulnerable Web Application)**，直接从容器化的 JSON 日志中追踪实时 Web 攻击向量。 3. **日志转发器：** Splunk Universal Forwarder 通过定制的 `inputs.conf` 配置文件解析本地化目录规则。 4. **SIEM 管道：** 由下游的 Splunk 索引器管理加密的实时数据摄取和事件关联。 5. **分析师工作区：** 构建搜索处理语言 (SPL) 威胁狩猎矩阵，以分离威胁指标。 ## 包含的配置蓝图 * **`inputs.conf`**：定义目标数据输入，配置专用 stanza 以主动跟踪系统身份验证，并从 Docker 容器中捕获实时的应用程序日志。 * **`splunk_threat_hunting_queries.spl`**：一个精心整理的生产就绪 SPL 搜索查询库，旨在分离恶意模式、Web 应用程序攻击和异常的基础设施事件。 ## 监控的关键用例 ### 1. Web 应用程序攻击检测 (DVWA) 监控容器化 Web 日志，以寻找常见 OWASP Top 10 漏洞的签名指标，例如 **SQL 注入** 字符串（如 `UNION SELECT`）以及针对应用程序门户的潜在 **暴力破解** 访问尝试。 ### 2. 暴力破解与未经授权的 Linux 访问 跟踪重复的 SSH 验证错误，映射针对内部服务器基础设施的凭证填充尝试或字典攻击。 ### 3. 权限提升与滥用跟踪 监控执行权限（`sudo` 命令）的使用情况，确保 root 级别活动的完全可追溯性，并识别未经授权的系统更改。

标签：CISA项目, 安全运营, 扫描框架, 请求拦截