Splunk​/7.3.1.1​/mac​/07BossOfTheSOCv1Setup をテンプレートにして作成 :: UJP

開始行:
*Splunk 7.3.1.1で，Boss of the SOC(BOTS) V1を使えるように... **はじめに 　Splunk社が，年に１回程度？プライベートトレードショーを... 　Boss of the SOCでは，問題を解いていくタイムアタックでの... 　Boss of the SOCで使われた問題と学習用データは，オープン... **Boss of the SOC(BOTS) Investigatin Workshop for Splunk... 　まずは，学習用のSplunk Appのインストールから．今回は，S... 　以下のリンクを訪問． Boss of the SOC (BOTS) Advanced APT Hunting Companion App... https://splunkbase.splunk.com/app/4430/ ｃ 　次のように表示される． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　ダウンロードする．（当然，Splunkに無料ユーザ登録が必要） 　ダウンロードしたいファイルは次の通り． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　約16MB． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　SplunkのApp画面でファイルを選択してアップロード． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　問題なくインストールできたら，この様に表示される． **演習用データの入手 　演習用データは，Githubに登録してある． splunk/botsv1 https://github.com/splunk/botsv1 　ここにあるデータを全てダウンロードしてインストールする... 　そのサイトにあるリンクに掲載されているbotsv1-attack-onl... $ wget https://s3.amazonaws.com/botsdataset/botsv1/bots... --2019-10-22 17:44:13-- https://s3.amazonaws.com/botsdataset/botsv1/botsv1-atta... s3.amazonaws.com (s3.amazonaws.com) をDNSに問いあわせて... 52.216.165.133 s3.amazonaws.com (s3.amazonaws.com)|52.216.165.133|:443 ... .. 接続しました。 HTTP による接続要求を送信しました、応答を待っています...... 長さ: 134331235 (128M) [application/x-tar] `botsv1-attack-only.tgz' に保存中 botsv1-attack-only.tgz 100%[========================... 128.11M 482KB/s 時間 2m 42s 2019-10-22 17:46:56 (811 KB/s) - `botsv1-attack-only.tgz... [134331235/134331235] $ 　ダウンロードできたら，ファイルを確認． $ ls -la botsv1-attack-only.tgz🆑 -rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 botsv1... $ 　135MB． 　圧縮ファイルを展開． $ tar xzvf botsv1-attack-only.tgz🆑 x botsv1_data_set/ x botsv1_data_set/LICENSE x botsv1_data_set/bin/ x botsv1_data_set/var/ x botsv1_data_set/default/ x botsv1_data_set/README.txt x botsv1_data_set/metadata/ x botsv1_data_set/metadata/local.meta x botsv1_data_set/metadata/default.meta x botsv1_data_set/default/app.conf x botsv1_data_set/default/indexes.conf x botsv1_data_set/default/data/ x botsv1_data_set/default/data/ui/ x botsv1_data_set/default/data/ui/nav/ x botsv1_data_set/default/data/ui/views/ x botsv1_data_set/default/data/ui/views/README x botsv1_data_set/default/data/ui/nav/default.xml x botsv1_data_set/var/lib/ x botsv1_data_set/var/lib/splunk/ x botsv1_data_set/var/lib/splunk/botsv1/ x botsv1_data_set/var/lib/splunk/botsv1/thaweddb/ x botsv1_data_set/var/lib/splunk/botsv1/datamodel_summary/ x botsv1_data_set/var/lib/splunk/botsv1/colddb/ x botsv1_data_set/var/lib/splunk/botsv1/db/ x botsv1_data_set/var/lib/splunk/botsv1/db/.bucketManifest x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... x botsv1_data_set/var/lib/splunk/botsv1/db/CreationTime x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... x botsv1_data_set/var/lib/splunk/botsv1/db/GlobalMetaData/ x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... SourceTypes.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... 1470864737-1470864649-3842594044383916393.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... Sources.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... splunk-autogen-params.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... merged_lexicon.lex x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... optimize.result x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... 1470868141-1470799731-3987826563906861801.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... Hosts.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... sizeManifest4.1 x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/ x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawSize x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... Strings.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/journal.gz x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/slicemin.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/slicesv2.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... SourceTypes.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... Sources.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... splunk-autogen-params.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... 1472055410-1472055311-2848570253371219060.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... merged_lexicon.lex x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... 1472058450-1472053148-2997229452421710715.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... optimize.result x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... Hosts.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... sizeManifest4.1 x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/ x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawSize x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... 1472063264-1472058288-3063067740541508307.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... Strings.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/journal.gz x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/slicemin.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/slicesv2.dat x botsv1_data_set/bin/README $ 　展開したファイルのファイルサイズを確認． $ ls -la🆑 total 147520 drwx------+ 5 ujpadmin staff 160 10 22 17:53 . drwxr-xr-x+ 20 ujpadmin staff 640 10 22 17:37 .. -rw------- 1 ujpadmin staff 0 12 9 2018 .loc... -rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 bots... drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 bots... $ du -sh botsv1_data_set/🆑 322M botsv1_data_set/🈁 $ 　結構大きいねぇ． 　アプリケーションが格納されているディレクトリを確認． $ ls -la /Applications/Splunk/etc/apps🆑 total 0 drwxr-xr-x 23 ujpadmin wheel 736 10 23 23:12 . drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 .. drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect... drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc... drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt... drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins... drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met... drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs $ 　先ほど入れたBoss of the SOCのApp(investigate_workshop)... 　このディレクトリに，ダウンロードしたデータファイルを配... $ mv botsv1_data_set /Applications/Splunk/etc/apps/.🆑 $ $ ls -la /Applications/Splunk/etc/apps🆑 total 0 drwxr-xr-x 24 ujpadmin wheel 768 10 23 23:17 . drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 .. drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 botsv1_dat... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect... drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc... drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt... drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins... drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met... drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs $ 　有効にするために，Splunkを再起動する． 　ここは好みの問題だけれど，Stopして停止する． $ /Applications/Splunk/bin/splunk stop🆑 Stopping splunkd... Shutting down. Please wait, as this may take a few minu... .. Stopping splunk helpers... Done. $ 　停止したので，起動する． $ /Applications/Splunk/bin/splunk start🆑 Splunk> Australian for grep. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking appserver port [127.0.0.1:8065]: open Checking kvstore port [8191]: open Checking configuration... Done. Checking critical directories... Done Checking indexes... Validated: _audit _internal _introspection _telemetry _thefishbucket botsv1🈁 history ipaccess_access ipaccess_... juno_syslog main ujp1_access ujp1_error summary ujp_acce... ujp_mail ujp_mailaccess Done Checking filesystem compatibility... Done Checking conf files for problems... Done Checking default conf files for edits... Validating installed files against hashes from '/Applic... splunk-7.3.1.1-7651b7244cf2-darwin-64-manifest' File '/Applications/Splunk/etc/system/default/web.conf' ... Problems were found, please review your files and move customizations to local All preliminary checks passed. Starting splunk server daemon (splunkd)... Done Waiting for web server at http://127.0.0.1:8000 to be av... If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://gaia.local:8000 $ 　起動しました．インデックスも認識されている模様． **追加で必要になるAppとAdd-on 　BOTSの例題では，著名でスタンダードなアプリケーションや... 　知らないものもたくさんあるので，違うことを書いているか... -Fortinet Fortigate Add-on for Splunk --https://splunkbase.splunk.com/app/2846 --中小企業によく入っているネットワークセキュリティアプラ... ファイアウォールと言えばいいのかなぁ． -Splunk Add-on for Tenable --https://splunkbase.splunk.com/app/1710 --フリーのペネトレーションテストツールのNessusのログを扱... -Splunk Stream Add-on --https://splunkbase.splunk.com/app/1809/ --Splunkの機能のStream．パケットキャプチャ機能的なもの？... -Splunk App for Stream --https://splunkbase.splunk.com/app/1809/ --Splunk StreamのSplunk App版．といいうか，最近はAdd-onじ... -Splunk Add-on for Microsoft Windows --https://splunkbase.splunk.com/app/742/ --WindowsのActive Direcotory関連のログ分析用アドオン． -TA-Suricata --https://splunkbase.splunk.com/app/2760/ --フリーのIPSであるSuricataのログを扱うものらしい． -Microsoft Sysmon Add-on --https://splunkbase.splunk.com/app/1914/ --Microsoftが無償で提供しているSysmonのログ．Sysmonはプロ... イルアクセスなどのイベントが取れるものらしい． -URL Toolbox --https://splunkbase.splunk.com/app/2734/ --よくわからないけれどログデータの中のURLをみやすくしてく...

終了行:
*Splunk 7.3.1.1で，Boss of the SOC(BOTS) V1を使えるように... **はじめに 　Splunk社が，年に１回程度？プライベートトレードショーを... 　Boss of the SOCでは，問題を解いていくタイムアタックでの... 　Boss of the SOCで使われた問題と学習用データは，オープン... **Boss of the SOC(BOTS) Investigatin Workshop for Splunk... 　まずは，学習用のSplunk Appのインストールから．今回は，S... 　以下のリンクを訪問． Boss of the SOC (BOTS) Advanced APT Hunting Companion App... https://splunkbase.splunk.com/app/4430/ ｃ 　次のように表示される． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　ダウンロードする．（当然，Splunkに無料ユーザ登録が必要） 　ダウンロードしたいファイルは次の通り． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　約16MB． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　SplunkのApp画面でファイルを選択してアップロード． #ref(site://modules/xelfinder/index.php?page=view&file=64... 　問題なくインストールできたら，この様に表示される． **演習用データの入手 　演習用データは，Githubに登録してある． splunk/botsv1 https://github.com/splunk/botsv1 　ここにあるデータを全てダウンロードしてインストールする... 　そのサイトにあるリンクに掲載されているbotsv1-attack-onl... $ wget https://s3.amazonaws.com/botsdataset/botsv1/bots... --2019-10-22 17:44:13-- https://s3.amazonaws.com/botsdataset/botsv1/botsv1-atta... s3.amazonaws.com (s3.amazonaws.com) をDNSに問いあわせて... 52.216.165.133 s3.amazonaws.com (s3.amazonaws.com)|52.216.165.133|:443 ... .. 接続しました。 HTTP による接続要求を送信しました、応答を待っています...... 長さ: 134331235 (128M) [application/x-tar] `botsv1-attack-only.tgz' に保存中 botsv1-attack-only.tgz 100%[========================... 128.11M 482KB/s 時間 2m 42s 2019-10-22 17:46:56 (811 KB/s) - `botsv1-attack-only.tgz... [134331235/134331235] $ 　ダウンロードできたら，ファイルを確認． $ ls -la botsv1-attack-only.tgz🆑 -rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 botsv1... $ 　135MB． 　圧縮ファイルを展開． $ tar xzvf botsv1-attack-only.tgz🆑 x botsv1_data_set/ x botsv1_data_set/LICENSE x botsv1_data_set/bin/ x botsv1_data_set/var/ x botsv1_data_set/default/ x botsv1_data_set/README.txt x botsv1_data_set/metadata/ x botsv1_data_set/metadata/local.meta x botsv1_data_set/metadata/default.meta x botsv1_data_set/default/app.conf x botsv1_data_set/default/indexes.conf x botsv1_data_set/default/data/ x botsv1_data_set/default/data/ui/ x botsv1_data_set/default/data/ui/nav/ x botsv1_data_set/default/data/ui/views/ x botsv1_data_set/default/data/ui/views/README x botsv1_data_set/default/data/ui/nav/default.xml x botsv1_data_set/var/lib/ x botsv1_data_set/var/lib/splunk/ x botsv1_data_set/var/lib/splunk/botsv1/ x botsv1_data_set/var/lib/splunk/botsv1/thaweddb/ x botsv1_data_set/var/lib/splunk/botsv1/datamodel_summary/ x botsv1_data_set/var/lib/splunk/botsv1/colddb/ x botsv1_data_set/var/lib/splunk/botsv1/db/ x botsv1_data_set/var/lib/splunk/botsv1/db/.bucketManifest x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... x botsv1_data_set/var/lib/splunk/botsv1/db/CreationTime x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... x botsv1_data_set/var/lib/splunk/botsv1/db/GlobalMetaData/ x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... SourceTypes.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... 1470864737-1470864649-3842594044383916393.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... Sources.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... splunk-autogen-params.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... merged_lexicon.lex x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... optimize.result x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... 1470868141-1470799731-3987826563906861801.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... Hosts.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... sizeManifest4.1 x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/ x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawSize x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... Strings.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/journal.gz x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/slicemin.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141... rawdata/slicesv2.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... SourceTypes.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... Sources.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... splunk-autogen-params.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... 1472055410-1472055311-2848570253371219060.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... merged_lexicon.lex x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... 1472058450-1472053148-2997229452421710715.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... optimize.result x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... Hosts.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... sizeManifest4.1 x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/ x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawSize x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... 1472063264-1472058288-3063067740541508307.tsidx x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... Strings.data x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/journal.gz x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/slicemin.dat x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264... rawdata/slicesv2.dat x botsv1_data_set/bin/README $ 　展開したファイルのファイルサイズを確認． $ ls -la🆑 total 147520 drwx------+ 5 ujpadmin staff 160 10 22 17:53 . drwxr-xr-x+ 20 ujpadmin staff 640 10 22 17:37 .. -rw------- 1 ujpadmin staff 0 12 9 2018 .loc... -rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 bots... drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 bots... $ du -sh botsv1_data_set/🆑 322M botsv1_data_set/🈁 $ 　結構大きいねぇ． 　アプリケーションが格納されているディレクトリを確認． $ ls -la /Applications/Splunk/etc/apps🆑 total 0 drwxr-xr-x 23 ujpadmin wheel 736 10 23 23:12 . drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 .. drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect... drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc... drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt... drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins... drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met... drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs $ 　先ほど入れたBoss of the SOCのApp(investigate_workshop)... 　このディレクトリに，ダウンロードしたデータファイルを配... $ mv botsv1_data_set /Applications/Splunk/etc/apps/.🆑 $ $ ls -la /Applications/Splunk/etc/apps🆑 total 0 drwxr-xr-x 24 ujpadmin wheel 768 10 23 23:17 . drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 .. drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge... drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 botsv1_dat... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect... drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi... drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc... drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt... drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins... drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met... drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon... drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs $ 　有効にするために，Splunkを再起動する． 　ここは好みの問題だけれど，Stopして停止する． $ /Applications/Splunk/bin/splunk stop🆑 Stopping splunkd... Shutting down. Please wait, as this may take a few minu... .. Stopping splunk helpers... Done. $ 　停止したので，起動する． $ /Applications/Splunk/bin/splunk start🆑 Splunk> Australian for grep. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking appserver port [127.0.0.1:8065]: open Checking kvstore port [8191]: open Checking configuration... Done. Checking critical directories... Done Checking indexes... Validated: _audit _internal _introspection _telemetry _thefishbucket botsv1🈁 history ipaccess_access ipaccess_... juno_syslog main ujp1_access ujp1_error summary ujp_acce... ujp_mail ujp_mailaccess Done Checking filesystem compatibility... Done Checking conf files for problems... Done Checking default conf files for edits... Validating installed files against hashes from '/Applic... splunk-7.3.1.1-7651b7244cf2-darwin-64-manifest' File '/Applications/Splunk/etc/system/default/web.conf' ... Problems were found, please review your files and move customizations to local All preliminary checks passed. Starting splunk server daemon (splunkd)... Done Waiting for web server at http://127.0.0.1:8000 to be av... If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://gaia.local:8000 $ 　起動しました．インデックスも認識されている模様． **追加で必要になるAppとAdd-on 　BOTSの例題では，著名でスタンダードなアプリケーションや... 　知らないものもたくさんあるので，違うことを書いているか... -Fortinet Fortigate Add-on for Splunk --https://splunkbase.splunk.com/app/2846 --中小企業によく入っているネットワークセキュリティアプラ... ファイアウォールと言えばいいのかなぁ． -Splunk Add-on for Tenable --https://splunkbase.splunk.com/app/1710 --フリーのペネトレーションテストツールのNessusのログを扱... -Splunk Stream Add-on --https://splunkbase.splunk.com/app/1809/ --Splunkの機能のStream．パケットキャプチャ機能的なもの？... -Splunk App for Stream --https://splunkbase.splunk.com/app/1809/ --Splunk StreamのSplunk App版．といいうか，最近はAdd-onじ... -Splunk Add-on for Microsoft Windows --https://splunkbase.splunk.com/app/742/ --WindowsのActive Direcotory関連のログ分析用アドオン． -TA-Suricata --https://splunkbase.splunk.com/app/2760/ --フリーのIPSであるSuricataのログを扱うものらしい． -Microsoft Sysmon Add-on --https://splunkbase.splunk.com/app/1914/ --Microsoftが無償で提供しているSysmonのログ．Sysmonはプロ... イルアクセスなどのイベントが取れるものらしい． -URL Toolbox --https://splunkbase.splunk.com/app/2734/ --よくわからないけれどログデータの中のURLをみやすくしてく...

ページ名: