UJP - 技術情報2 : Splunk/7.3.1.1/mac/07BossOfTheSOCv1Setup をテンプレートにして作成
Life is fun and easy!
不正IP報告数
Okan Sensor
Home
Information
Service
Tech(Free)
Tech(Member)
Blog
FAQ
メイン
ホーム
お知らせ
技術新着情報
組織
サービス
技術情報2
新規ページ作成
最新ページ一覧
全ページ一覧
ヘルプ
技術情報1
技術情報
ブログ
RSSサイト更新
旧ブログ
FAQ
画像ファイル管理
ログイン
ユーザー名:
パスワード:
パスワード再発行手続き
|
無料会員入会手続へ...
ブログ カテゴリ一覧
雑記
(237)
投資で凍死
(271)
時事
(506)
テレビ・ドラマ
(419)
映画
(915)
007シリーズ
(33)
刑事コロンボ
(62)
災害
(212)
スキルチャージ
(49)
放送大学
(23)
Python
(10)
検定・試験
(32)
セキュリティ
(5)
ニュース・徒然
(325)
脆弱性情報/注意喚起
(110)
スパム・フィッシング
(634)
攻撃/ブルートフォース
(24)
ツール
(130)
事故・事件
(104)
文献・統計・参考資料
(128)
ベンダ・サービス
(3)
事故被害者記録
(46)
あとで確認
(1)
システム障害事故
(55)
サイト構築
(74)
Apple
(18)
MacBook Pro
(0)
2011 13inch
(31)
2007 15inch
(1)
2008 17inch
(20)
2015 15inch
(6)
Mac Pro 2013
(10)
Apple Watch
(84)
mac mini
(0)
2018
(1)
2011 server
(4)
2010 server
(5)
2014
(15)
2010
(36)
2005
(8)
MacBook
(0)
2017 12inch
(11)
2008 late
(45)
MacBook Air
(0)
2011 13inch/BCP
(9)
2013 13inch/US
(5)
2011 11inch
(31)
2011 13inch
(8)
Macソフト
(134)
Mac周辺機器
(36)
PowerBook
(5)
iPod touch/iOS
(59)
iPhone
(172)
iPad
(76)
ガジェット
(116)
fire tv
(1)
文房具
(19)
HUAWEI Watch FIT
(10)
カメラ/デジカメ
(40)
タイムラプス
(6)
ネットワーク機器
(17)
ネットワークケーブル
(4)
ネットワークその他
(8)
ネットワークスピード
(14)
YAMAHA/ヤマハ
(1)
FWX120
(2)
RTX1200
(14)
RTX1100/RTX1000
(10)
RT107e
(2)
NETGEAR WAC510
(11)
NERGEAR Orbi
(1)
Panasonic MNOseries
(3)
マウス&キーボード
(58)
AV機器・レグザ
(99)
電球
(11)
ハウツー
(105)
GPS/地図
(70)
ビジネス
(169)
新規ビジネス
(19)
お仕事
(63)
ケータイビジネス
(41)
PC
(11)
Raspberry Pi
(58)
ML110 G5
(20)
LIFEBOOK
(11)
Surface
(50)
ThinkPad R61
(5)
CF-LX4
(9)
CF-RZ6
(7)
DynabookPT45
(8)
PN-ZP30
(5)
EndeavorTN40
(4)
Intel NUC6CAYS
(2)
モバイル
(16)
ケータイスマホ機種
(34)
スマホアプリ
(73)
データ通信・契約
(79)
EMONSTER
(5)
IDEOS
(12)
Galaxy Note
(39)
Windows Phone
(20)
Nexus
(22)
コンピュータ
(11)
Windows
(90)
サーバソフト
(32)
Db2
(16)
クライアントソフト
(76)
インターネット
(69)
Google
(119)
ネットサービス
(157)
ハードウェア
(19)
プリンタ
(9)
ストレージ
(5)
ディスプレイ
(11)
情報システム
(95)
趣味
(3)
ポケモンGO
(640)
寝台特急カシオペア/カシオペア紀行
(34)
TOKYO2020
(85)
雑草対策
(27)
食べた
(209)
たべた(駅弁)
(30)
飲んだ
(33)
調理した
(24)
ラーメン・麺類
(202)
鉄道
(237)
農園
(168)
アクアリウム
(160)
ホテル・旅館
(44)
書評
(42)
演劇
(22)
車・バイク
(76)
自然・星
(37)
散策・近代建築
(18)
神社・寺
(50)
高層ビル
(24)
現代建築
(15)
建築物
(6)
観光・名所
(88)
イベント
(73)
散策:城
(34)
ディズニー
(24)
モーターショー
(16)
鳥
(9)
美術館
(28)
コンサート/ライブ
(72)
船
(3)
スポーツ
(120)
音楽
(76)
ミニカー
(4)
Nゲージダイキャスト
(8)
Nゲージ
(0)
サマリ
(6)
ピンバッチ
(3)
サイト運営
(39)
人生
(68)
監視/防犯/みまもり/遠隔
(93)
お金の話
(94)
体・病気
(118)
相続・土地売買
(17)
コンテンツ更新情報
(2)
Splunk 7.3.1.1で,Boss of the SOC(BOTS) V1を使えるようにする
をテンプレートにして作成
技術情報2
Splunk/7.3.1.1/mac/07BossOfTheSOCv1Setup をテンプレートにして作成
開始行:
*Splunk 7.3.1.1で,Boss of the SOC(BOTS) V1を使えるように...
**はじめに
Splunk社が,年に1回程度?プライベートトレードショーを...
Boss of the SOCでは,問題を解いていくタイムアタックでの...
Boss of the SOCで使われた問題と学習用データは,オープン...
**Boss of the SOC(BOTS) Investigatin Workshop for Splunk...
まずは,学習用のSplunk Appのインストールから.今回は,S...
以下のリンクを訪問.
Boss of the SOC (BOTS) Advanced APT Hunting Companion App...
https://splunkbase.splunk.com/app/4430/ c
次のように表示される.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
ダウンロードする.(当然,Splunkに無料ユーザ登録が必要)
ダウンロードしたいファイルは次の通り.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
約16MB.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
SplunkのApp画面でファイルを選択してアップロード.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
問題なくインストールできたら,この様に表示される.
**演習用データの入手
演習用データは,Githubに登録してある.
splunk/botsv1
https://github.com/splunk/botsv1
ここにあるデータを全てダウンロードしてインストールする...
そのサイトにあるリンクに掲載されているbotsv1-attack-onl...
$ wget https://s3.amazonaws.com/botsdataset/botsv1/bots...
--2019-10-22 17:44:13--
https://s3.amazonaws.com/botsdataset/botsv1/botsv1-atta...
s3.amazonaws.com (s3.amazonaws.com) をDNSに問いあわせて...
52.216.165.133
s3.amazonaws.com (s3.amazonaws.com)|52.216.165.133|:443 ...
.. 接続しました。
HTTP による接続要求を送信しました、応答を待っています......
長さ: 134331235 (128M) [application/x-tar]
`botsv1-attack-only.tgz' に保存中
botsv1-attack-only.tgz 100%[========================...
128.11M 482KB/s 時間 2m 42s
2019-10-22 17:46:56 (811 KB/s) - `botsv1-attack-only.tgz...
[134331235/134331235]
$
ダウンロードできたら,ファイルを確認.
$ ls -la botsv1-attack-only.tgz🆑
-rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 botsv1...
$
135MB.
圧縮ファイルを展開.
$ tar xzvf botsv1-attack-only.tgz🆑
x botsv1_data_set/
x botsv1_data_set/LICENSE
x botsv1_data_set/bin/
x botsv1_data_set/var/
x botsv1_data_set/default/
x botsv1_data_set/README.txt
x botsv1_data_set/metadata/
x botsv1_data_set/metadata/local.meta
x botsv1_data_set/metadata/default.meta
x botsv1_data_set/default/app.conf
x botsv1_data_set/default/indexes.conf
x botsv1_data_set/default/data/
x botsv1_data_set/default/data/ui/
x botsv1_data_set/default/data/ui/nav/
x botsv1_data_set/default/data/ui/views/
x botsv1_data_set/default/data/ui/views/README
x botsv1_data_set/default/data/ui/nav/default.xml
x botsv1_data_set/var/lib/
x botsv1_data_set/var/lib/splunk/
x botsv1_data_set/var/lib/splunk/botsv1/
x botsv1_data_set/var/lib/splunk/botsv1/thaweddb/
x botsv1_data_set/var/lib/splunk/botsv1/datamodel_summary/
x botsv1_data_set/var/lib/splunk/botsv1/colddb/
x botsv1_data_set/var/lib/splunk/botsv1/db/
x botsv1_data_set/var/lib/splunk/botsv1/db/.bucketManifest
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
x botsv1_data_set/var/lib/splunk/botsv1/db/CreationTime
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
x botsv1_data_set/var/lib/splunk/botsv1/db/GlobalMetaData/
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
SourceTypes.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
1470864737-1470864649-3842594044383916393.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
Sources.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
splunk-autogen-params.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
merged_lexicon.lex
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
optimize.result
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
1470868141-1470799731-3987826563906861801.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
Hosts.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
sizeManifest4.1
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawSize
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
Strings.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/journal.gz
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/slicemin.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/slicesv2.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
SourceTypes.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
Sources.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
splunk-autogen-params.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
1472055410-1472055311-2848570253371219060.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
merged_lexicon.lex
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
1472058450-1472053148-2997229452421710715.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
optimize.result
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
Hosts.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
sizeManifest4.1
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawSize
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
1472063264-1472058288-3063067740541508307.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
Strings.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/journal.gz
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/slicemin.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/slicesv2.dat
x botsv1_data_set/bin/README
$
展開したファイルのファイルサイズを確認.
$ ls -la🆑
total 147520
drwx------+ 5 ujpadmin staff 160 10 22 17:53 .
drwxr-xr-x+ 20 ujpadmin staff 640 10 22 17:37 ..
-rw------- 1 ujpadmin staff 0 12 9 2018 .loc...
-rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 bots...
drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 bots...
$ du -sh botsv1_data_set/🆑
322M botsv1_data_set/🈁
$
結構大きいねぇ.
アプリケーションが格納されているディレクトリを確認.
$ ls -la /Applications/Splunk/etc/apps🆑
total 0
drwxr-xr-x 23 ujpadmin wheel 736 10 23 23:12 .
drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 ..
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect...
drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher
drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy
drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app
drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search
drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc...
drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt...
drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins...
drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met...
drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs
$
先ほど入れたBoss of the SOCのApp(investigate_workshop)...
このディレクトリに,ダウンロードしたデータファイルを配...
$ mv botsv1_data_set /Applications/Splunk/etc/apps/.🆑
$
$ ls -la /Applications/Splunk/etc/apps🆑
total 0
drwxr-xr-x 24 ujpadmin wheel 768 10 23 23:17 .
drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 ..
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser
drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 botsv1_dat...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect...
drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher
drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy
drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app
drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search
drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc...
drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt...
drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins...
drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met...
drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs
$
有効にするために,Splunkを再起動する.
ここは好みの問題だけれど,Stopして停止する.
$ /Applications/Splunk/bin/splunk stop🆑
Stopping splunkd...
Shutting down. Please wait, as this may take a few minu...
..
Stopping splunk helpers...
Done.
$
停止したので,起動する.
$ /Applications/Splunk/bin/splunk start🆑
Splunk> Australian for grep.
Checking prerequisites...
Checking http port [8000]: open
Checking mgmt port [8089]: open
Checking appserver port [127.0.0.1:8065]: open
Checking kvstore port [8191]: open
Checking configuration... Done.
Checking critical directories... Done
Checking indexes...
Validated: _audit _internal _introspection _telemetry
_thefishbucket botsv1🈁 history ipaccess_access ipaccess_...
juno_syslog main ujp1_access ujp1_error summary ujp_acce...
ujp_mail ujp_mailaccess
Done
Checking filesystem compatibility... Done
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/Applic...
splunk-7.3.1.1-7651b7244cf2-darwin-64-manifest'
File '/Applications/Splunk/etc/system/default/web.conf' ...
Problems were found, please review your files and move
customizations to local
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Done
Waiting for web server at http://127.0.0.1:8000 to be av...
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://gaia.local:8000
$
起動しました.インデックスも認識されている模様.
**追加で必要になるAppとAdd-on
BOTSの例題では,著名でスタンダードなアプリケーションや...
知らないものもたくさんあるので,違うことを書いているか...
-Fortinet Fortigate Add-on for Splunk
--https://splunkbase.splunk.com/app/2846
--中小企業によく入っているネットワークセキュリティアプラ...
ファイアウォールと言えばいいのかなぁ.
-Splunk Add-on for Tenable
--https://splunkbase.splunk.com/app/1710
--フリーのペネトレーションテストツールのNessusのログを扱...
-Splunk Stream Add-on
--https://splunkbase.splunk.com/app/1809/
--Splunkの機能のStream.パケットキャプチャ機能的なもの?...
-Splunk App for Stream
--https://splunkbase.splunk.com/app/1809/
--Splunk StreamのSplunk App版.といいうか,最近はAdd-onじ...
-Splunk Add-on for Microsoft Windows
--https://splunkbase.splunk.com/app/742/
--WindowsのActive Direcotory関連のログ分析用アドオン.
-TA-Suricata
--https://splunkbase.splunk.com/app/2760/
--フリーのIPSであるSuricataのログを扱うものらしい.
-Microsoft Sysmon Add-on
--https://splunkbase.splunk.com/app/1914/
--Microsoftが無償で提供しているSysmonのログ.Sysmonはプロ...
イルアクセスなどのイベントが取れるものらしい.
-URL Toolbox
--https://splunkbase.splunk.com/app/2734/
--よくわからないけれどログデータの中のURLをみやすくしてく...
終了行:
*Splunk 7.3.1.1で,Boss of the SOC(BOTS) V1を使えるように...
**はじめに
Splunk社が,年に1回程度?プライベートトレードショーを...
Boss of the SOCでは,問題を解いていくタイムアタックでの...
Boss of the SOCで使われた問題と学習用データは,オープン...
**Boss of the SOC(BOTS) Investigatin Workshop for Splunk...
まずは,学習用のSplunk Appのインストールから.今回は,S...
以下のリンクを訪問.
Boss of the SOC (BOTS) Advanced APT Hunting Companion App...
https://splunkbase.splunk.com/app/4430/ c
次のように表示される.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
ダウンロードする.(当然,Splunkに無料ユーザ登録が必要)
ダウンロードしたいファイルは次の通り.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
約16MB.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
SplunkのApp画面でファイルを選択してアップロード.
#ref(site://modules/xelfinder/index.php?page=view&file=64...
問題なくインストールできたら,この様に表示される.
**演習用データの入手
演習用データは,Githubに登録してある.
splunk/botsv1
https://github.com/splunk/botsv1
ここにあるデータを全てダウンロードしてインストールする...
そのサイトにあるリンクに掲載されているbotsv1-attack-onl...
$ wget https://s3.amazonaws.com/botsdataset/botsv1/bots...
--2019-10-22 17:44:13--
https://s3.amazonaws.com/botsdataset/botsv1/botsv1-atta...
s3.amazonaws.com (s3.amazonaws.com) をDNSに問いあわせて...
52.216.165.133
s3.amazonaws.com (s3.amazonaws.com)|52.216.165.133|:443 ...
.. 接続しました。
HTTP による接続要求を送信しました、応答を待っています......
長さ: 134331235 (128M) [application/x-tar]
`botsv1-attack-only.tgz' に保存中
botsv1-attack-only.tgz 100%[========================...
128.11M 482KB/s 時間 2m 42s
2019-10-22 17:46:56 (811 KB/s) - `botsv1-attack-only.tgz...
[134331235/134331235]
$
ダウンロードできたら,ファイルを確認.
$ ls -la botsv1-attack-only.tgz🆑
-rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 botsv1...
$
135MB.
圧縮ファイルを展開.
$ tar xzvf botsv1-attack-only.tgz🆑
x botsv1_data_set/
x botsv1_data_set/LICENSE
x botsv1_data_set/bin/
x botsv1_data_set/var/
x botsv1_data_set/default/
x botsv1_data_set/README.txt
x botsv1_data_set/metadata/
x botsv1_data_set/metadata/local.meta
x botsv1_data_set/metadata/default.meta
x botsv1_data_set/default/app.conf
x botsv1_data_set/default/indexes.conf
x botsv1_data_set/default/data/
x botsv1_data_set/default/data/ui/
x botsv1_data_set/default/data/ui/nav/
x botsv1_data_set/default/data/ui/views/
x botsv1_data_set/default/data/ui/views/README
x botsv1_data_set/default/data/ui/nav/default.xml
x botsv1_data_set/var/lib/
x botsv1_data_set/var/lib/splunk/
x botsv1_data_set/var/lib/splunk/botsv1/
x botsv1_data_set/var/lib/splunk/botsv1/thaweddb/
x botsv1_data_set/var/lib/splunk/botsv1/datamodel_summary/
x botsv1_data_set/var/lib/splunk/botsv1/colddb/
x botsv1_data_set/var/lib/splunk/botsv1/db/
x botsv1_data_set/var/lib/splunk/botsv1/db/.bucketManifest
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
x botsv1_data_set/var/lib/splunk/botsv1/db/CreationTime
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
x botsv1_data_set/var/lib/splunk/botsv1/db/GlobalMetaData/
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
SourceTypes.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
1470864737-1470864649-3842594044383916393.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
Sources.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
splunk-autogen-params.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
merged_lexicon.lex
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
optimize.result
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
1470868141-1470799731-3987826563906861801.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
Hosts.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
sizeManifest4.1
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawSize
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
Strings.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/journal.gz
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/slicemin.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1470868141...
rawdata/slicesv2.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
SourceTypes.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
Sources.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
splunk-autogen-params.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
1472055410-1472055311-2848570253371219060.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
merged_lexicon.lex
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
1472058450-1472053148-2997229452421710715.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
optimize.result
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
Hosts.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
sizeManifest4.1
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawSize
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
1472063264-1472058288-3063067740541508307.tsidx
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
Strings.data
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/journal.gz
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/slicemin.dat
x botsv1_data_set/var/lib/splunk/botsv1/db/db_1472063264...
rawdata/slicesv2.dat
x botsv1_data_set/bin/README
$
展開したファイルのファイルサイズを確認.
$ ls -la🆑
total 147520
drwx------+ 5 ujpadmin staff 160 10 22 17:53 .
drwxr-xr-x+ 20 ujpadmin staff 640 10 22 17:37 ..
-rw------- 1 ujpadmin staff 0 12 9 2018 .loc...
-rw-r--r-- 1 ujpadmin staff 134331235 4 30 2018 bots...
drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 bots...
$ du -sh botsv1_data_set/🆑
322M botsv1_data_set/🈁
$
結構大きいねぇ.
アプリケーションが格納されているディレクトリを確認.
$ ls -la /Applications/Splunk/etc/apps🆑
total 0
drwxr-xr-x 23 ujpadmin wheel 736 10 23 23:12 .
drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 ..
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect...
drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher
drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy
drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app
drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search
drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc...
drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt...
drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins...
drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met...
drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs
$
先ほど入れたBoss of the SOCのApp(investigate_workshop)...
このディレクトリに,ダウンロードしたデータファイルを配...
$ mv botsv1_data_set /Applications/Splunk/etc/apps/.🆑
$
$ ls -la /Applications/Splunk/etc/apps🆑
total 0
drwxr-xr-x 24 ujpadmin wheel 768 10 23 23:17 .
drwxr-xr-x 36 ujpadmin wheel 1152 10 23 23:11 ..
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkForw...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 SplunkLigh...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_loge...
drwxr-xr-x 7 ujpadmin wheel 224 9 19 09:24 alert_webh...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 appsbrowser
drwxr-xr-x 8 ujpadmin staff 256 11 19 2017 botsv1_dat...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 gettingsta...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 introspect...
drwxr-xr-x 9 ujpadmin wheel 288 10 23 23:12 investigat...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 launcher
drwxr-xr-x 5 ujpadmin wheel 160 9 26 22:52 learned
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 legacy
drwxr-xr-x 8 ujpadmin wheel 256 10 22 18:32 lookup_edi...
drwxr-xr-x 6 ujpadmin wheel 192 9 19 09:24 sample_app
drwxr-xr-x 10 ujpadmin wheel 320 10 7 00:03 search
drwxr-xr-x 6 ujpadmin wheel 192 9 26 23:17 splunk_arc...
drwxr-xr-x 9 ujpadmin wheel 288 9 19 09:25 splunk_gdi
drwxr-xr-x 3 ujpadmin wheel 96 9 19 09:24 splunk_htt...
drwxr-xr-x 8 ujpadmin wheel 256 9 26 22:52 splunk_ins...
drwxr-xr-x 8 ujpadmin wheel 256 9 19 09:25 splunk_met...
drwxr-xr-x 11 ujpadmin wheel 352 9 26 22:53 splunk_mon...
drwxr-xr-x 4 ujpadmin wheel 128 9 19 09:24 user-prefs
$
有効にするために,Splunkを再起動する.
ここは好みの問題だけれど,Stopして停止する.
$ /Applications/Splunk/bin/splunk stop🆑
Stopping splunkd...
Shutting down. Please wait, as this may take a few minu...
..
Stopping splunk helpers...
Done.
$
停止したので,起動する.
$ /Applications/Splunk/bin/splunk start🆑
Splunk> Australian for grep.
Checking prerequisites...
Checking http port [8000]: open
Checking mgmt port [8089]: open
Checking appserver port [127.0.0.1:8065]: open
Checking kvstore port [8191]: open
Checking configuration... Done.
Checking critical directories... Done
Checking indexes...
Validated: _audit _internal _introspection _telemetry
_thefishbucket botsv1🈁 history ipaccess_access ipaccess_...
juno_syslog main ujp1_access ujp1_error summary ujp_acce...
ujp_mail ujp_mailaccess
Done
Checking filesystem compatibility... Done
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/Applic...
splunk-7.3.1.1-7651b7244cf2-darwin-64-manifest'
File '/Applications/Splunk/etc/system/default/web.conf' ...
Problems were found, please review your files and move
customizations to local
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Done
Waiting for web server at http://127.0.0.1:8000 to be av...
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://gaia.local:8000
$
起動しました.インデックスも認識されている模様.
**追加で必要になるAppとAdd-on
BOTSの例題では,著名でスタンダードなアプリケーションや...
知らないものもたくさんあるので,違うことを書いているか...
-Fortinet Fortigate Add-on for Splunk
--https://splunkbase.splunk.com/app/2846
--中小企業によく入っているネットワークセキュリティアプラ...
ファイアウォールと言えばいいのかなぁ.
-Splunk Add-on for Tenable
--https://splunkbase.splunk.com/app/1710
--フリーのペネトレーションテストツールのNessusのログを扱...
-Splunk Stream Add-on
--https://splunkbase.splunk.com/app/1809/
--Splunkの機能のStream.パケットキャプチャ機能的なもの?...
-Splunk App for Stream
--https://splunkbase.splunk.com/app/1809/
--Splunk StreamのSplunk App版.といいうか,最近はAdd-onじ...
-Splunk Add-on for Microsoft Windows
--https://splunkbase.splunk.com/app/742/
--WindowsのActive Direcotory関連のログ分析用アドオン.
-TA-Suricata
--https://splunkbase.splunk.com/app/2760/
--フリーのIPSであるSuricataのログを扱うものらしい.
-Microsoft Sysmon Add-on
--https://splunkbase.splunk.com/app/1914/
--Microsoftが無償で提供しているSysmonのログ.Sysmonはプロ...
イルアクセスなどのイベントが取れるものらしい.
-URL Toolbox
--https://splunkbase.splunk.com/app/2734/
--よくわからないけれどログデータの中のURLをみやすくしてく...
ページ名:
Counter: 0, today: 0, yesterday: 0
広告スペース
検索用語を入力
検索フォームを送信
Web
www.ujp.jp
