Splunk 插件说明

点击这里下载测试数据,测试数据可直接导入 Splunk

插件功能介绍

总览

Alt text

其中各个图表都可根据自身的的需求,通过Splunk语法格式聚合搜索出想要的数据,可通过点击编辑按钮进行一系列操作。

1.可通过时间筛选器选择时间区间,所有数据表格都可以共享此筛选器时间,也可以编辑仪表板信息。

Alt text

2.数据表信息,可根据需求进行编写、修改splunk语句,以及数据展现形式等。

Alt text

3.总览主要是对攻击域名,攻击来源,攻击参数,应用类型,user_agent等数据聚合,得到top以及分布信息,其中分别有对数据聚合的splunk语句,包括下列饼图的展现。

Alt text

攻击事件

根据不同的业务搜索需求,针对各自不同的搜索条件,对多个字段进行搜索,以table的形式展现,可通过时间筛选器进行时间控制,也可对字段进行增删改查操作。

Alt text

Search

搜索页面可通过splunk语句进行查询数据,字段筛选,可以对数据下载,保存仪表板,告警,个性化展现等处理。

Alt text

资产

对数据资产进行聚合展现攻击趋势信息。

Alt text

攻击域名

对被攻击域名进行聚合展现攻击趋势信息。

Alt text

原文: https://rasp.baidu.com/doc/usage/siem/splunk/main.html