Splunk收集Windows Server域控制器的安全日志（1）

简介：

　　Splunk是一款强大的日志分析软件，可以说商业的日志分析软件Splunk没有对手，当然也有其他强大的开源日志分析软件如ELK等。

　　Splunk是收费的，但是我们可以注册账号下载试用版，试用版跟购买版功能上没有区别，只是索引空间被限制为了500MB，用来学习还是没有问题的。

 

拓扑图：

 

 

环境说明：

　　本实验是在eve-ng上做的，在其他环境做也是一样的，Winserver2016安装了通用转发器（splunkforwarder-7.3.7），Splunk部署服务器是一台Centos7，使用源码包安装，版本是splunk-7.3.7，

　　control是一台Windows10，用于访问Splunk部署服务器的web页面，Splunk部署服务器版本建议与通用转发器一致。

 

Centos7安装Splunk

将源码包解压到/opt目录即可。

 

 启动splunk，第一次启动要读splunk手册，读完之后会要求你创建登录splunk web站点的用户和密码，之后就开始启动了。

 

 splunk启动完毕之后会监听8000端口，需要在防火墙放行一下8000端口。

 

 在control访问一下Splunk web站点，输入刚才启动Splunk时创建的用户密码登录。

 

Winserver2016安装通用转发器

注意：Winserver2016已经安装了域环境。

 

双击通用转发器安装执行文件之后开始安装步骤：

1.勾选许可协议之后点击自定义安装选项。

 

2.选择安装路径，这里我使用默认的安装路径。

 

3.选择传输数据时加密的证书，这里我们不进行设置也没关系，它会使用splunk默认的证书进行数据加密。

 

4.选择域授权，这样我们才有权限收集域控制器产生的数据。

 

5.输入有权限访问域控制器数据的用户，注意用户名格式需要为“username@DomainName”。

 

 

6.选择要转发的日志，这里先不勾选，我们之后再进行配置。

 

7.创建管理通用转发器的用户。

 

 

8.之后的设置直接下一步，到最后点击安装即可，显示以下页面代表已经安装成功了。

 

Splunk部署服务器与通用转发器安装完毕之后我们来配置让他们连接起来吧。

配置winserver2016上的通用转发器：

在Winserver2016上使用PowerShell进入Splunkforwarder的bin目录

 

配置通用转发器连接到Splunk部署服务器的8089端口，这个端口是用于Splunk部署服务器向通用转发器发号施令的，

例如我们想收集安装有通用转发器的服务器的某些日志，就可以在Splunk部署服务器上通过8089端口向通用转发器发号施令。

 

配置通用转发器将数据发送到Splunk部署服务器上的9997端口。

 

配置完成后需要重启通用转发器，也可以在windows服务那里重启。

 

 

配置Centos7上的Splunk部署服务器：

winserver2016的通用转发器要连接到Splunk部署服务器的9997与8089接口，那么我们需要配置Splunk部署服务器的防火墙，放行相应的端口。

 

接下来按照箭头步骤点击，查看转发器管理界面是否有通用转发器连接过来。

 

在转发器管理界面可以看到winserver2016上的通用转发器已经连接过来了。

 

 Splunk部署服务器的8089端口默认已经配置好了。按以下步骤点击查看。

Settings => Server settings => General settings

 

但是接收数据的9997端口默认没有设置，现在按照以下步骤进行设置。

选择转发或接收。

 

选择接收数据。

 

添加新的接收数据端口。

 

 

设置端口号为9997保存。

 

 

到这里winserver2016上的通用转发器应该已经成功连接到Splunk部署服务器的8089与9997端口了。

接下来我们使用Splunk部署服务器控制winserver2016通用转发器，让winserver2016上的通用转发器将域控制器的安全日志转发过来。

按以下步骤进行配置，选择数据输入。

 

在转发输入栏选择添加新的windows事件日志。

 

服务器类名我们这里设置为winserver。

 

选择收集安全日志

 

创建一个索引winserver，把我们的安全日志放到这个索引里。

 

一直点击下一步之后提交就完成了，点击Start Searching即可开始浏览由通用转发器发送过来的域控制器安全日志啦。