Splunk SIEM 명령어 정리

스플렁크

로그를 수집하고 사용자가 원하는 결과를 추출하는 대용량 로그 수집/분석 시스템이다.

컴퓨터, 네트워크 장비에서 생성하는 로그 데이터에 최적화되어 있지만 텍스트 기반의 로그라면 어떤 장비로부터 로그를 수신하고 분석할 수 있다.

​

기본 검색 방법

​

단어 여러개 검색 : error cart success등 검색 가능

​

단어 검색 : “Mac OS” (띄어쓰기를 포함한 내용 검색)

​

와일드 카드 : error*

​

상태 검색 Boolean : state=401 OR 403 (AND, OR, NOT 등에 대하여 상태코드가 401, 403이 아닌걸 검색)

​

시간 검색 : earliest=07/21/2020:18:20:00 latest=07/21/2020:18:30:00

​

earliest=-70h@ latest=now : 72시간 이전부터 현재의 로그를 출력

​

earliest=-w@w latest=@w 주

earliest=-d@d latest=@d 일

earliest=-mon@mon latest=@mon 달

​

index="book" referer=http://www.google* status="200“

인덱스 필드가 book이고 referer값이 google* 인 값에 상태가 200인 정상적인 로그만 출력

​

필드가 IP주소를 포함하고 있을 시 : clientip=91.205.189.15

​

index="*_fw" sourcetype="*" status="404" | stats count by url

​

index="book" sourcetype="access_combiend_wcooke"

| table clientipm method, productId, status