JFrancisSOC/Project-8-Splunk-Data-Onboarding-and-Log-Ingestion

GitHub: JFrancisSOC/Project-8-Splunk-Data-Onboarding-and-Log-Ingestion

该项目是一个 Splunk SOC 实验室教程,演示如何创建索引、上传示例安全日志并验证数据成功摄取的完整流程。

Stars: 0 | Forks: 0

# 项目 8 – Splunk 数据接入与日志摄取 ## 目标 - 学习如何将安全日志数据添加到 Splunk Enterprise 中。 - 创建专用 index 并配置 source type、host 和 input 设置。 - 验证上传的数据是否已成功索引并准备好供未来搜索使用。 ## 环境 - Windows 11 - Splunk Enterprise 10.4.1 - Splunk Web - 本地 SOC 实验室 - 示例安全日志文件 ## 练习技能 - 创建 Splunk index - 准备示例安全日志 - 将日志数据上传到 Splunk - 选择并保存 source type - 配置 host 值 - 选择正确的 index - 检查数据 input 设置 - 验证数据摄取是否成功 ## 使用的 Splunk 概念 | 概念 | 用途 | |---|---| | Index | 在 Splunk 内部存储和组织数据 | | Source Type | 告诉 Splunk 如何解释数据格式 | | Host | 标识日志数据的来源系统 | | Source | 显示数据原始的文件或位置 | | Event | 存储在 Splunk 中的单条记录或一行日志数据 | ## 实验活动 - 创建了专用的 SOC Lab index。 - 打开了 Splunk Add Data 页面。 - 为实验创建了示例安全日志文件。 - 将第一个日志文件上传到 Splunk。 - 查看了 Splunk 如何将文件划分为单独的 event。 - 选择并保存了 source type。 - 设置了数据的 host 值。 - 将数据发送到 SOC Lab index。 - 在提交前审查了上传设置。 - 验证了数据是否已成功索引。 ## 截图 ### 01 – 创建 SOC Lab Index ![创建 SOC Lab Index](https://static.pigsec.cn/wp-content/uploads/repos/cas/5d/5df53bdf6fe47118a61501c249a680bb67a3eb52cd84653f8fb1bb88da5c5f17.png) ### 02 – Splunk Add Data 页面 ![Splunk Add Data 页面](https://static.pigsec.cn/wp-content/uploads/repos/cas/c3/c3b758327f2bf5fda2c7f6ea1af772ab77b18504e55900da6975ad9f807bcde7.png) ### 03 – 创建示例日志文件 ![创建示例日志文件](https://static.pigsec.cn/wp-content/uploads/repos/cas/89/893db46762152dfb759ee443fc6f483c0e750e4449a08d71148da8ad4098c9bc.png) ### 04 – 设置 Source Type ![设置 Source Type](https://static.pigsec.cn/wp-content/uploads/repos/cas/bb/bb921e260448dbf0d5d5a3091cf550efcf93e52953faeaa0039f2a18051a2206.png) ### 05 – Input 设置 ![Input 设置](https://static.pigsec.cn/wp-content/uploads/repos/cas/24/24432a01fb5a8d32c92ce0972af9f3c9da128753235367855ef198db6c0f0fec.png) ### 06 – 审查上传设置 ![审查上传设置](https://static.pigsec.cn/wp-content/uploads/repos/cas/24/24432a01fb5a8d32c92ce0972af9f3c9da128753235367855ef198db6c0f0fec.png) ### 07 – 数据成功索引 ![数据成功索引](https://static.pigsec.cn/wp-content/uploads/repos/cas/48/488b2dd0bd6f9f2d1a09d2d87a697f555ffd1ad7f9ae5c89e5e1be5c0ea9a090.png) ## 经验总结 - 我了解到安装 Splunk 只是第一步,因为平台在分析师进行调查之前需要数据。 - 我学习了 index 如何保持不同类型的日志数据井然有序。 - 我更加熟悉了 source type 以及它们如何帮助 Splunk 理解上传日志的格式。 - 我了解了 host、source 和 source type 如何提供关于 event 来源的上下文。 - 在提交前审查设置帮助我理解了 Splunk 如何处理和存储数据。 ## SOC 分析师心得 - SIEM 只有在正确收集并妥善组织数据时才能发挥作用。 - 选择正确的 index、host 和 source type 会使未来的搜索更加准确。 - 分析师在开始调查之前,应验证数据是否已成功索引。 - 了解数据是如何进入 Splunk 的,有助于排查丢失或格式错误的 event。
标签:SOC 实验, 安全运营, 扫描框架, 数据接入, 日志采集