Splunk - SSH仪表板创建
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
本文介绍了如何使用Splunk查询创建仪表板,分析SSH遥测数据,包括失败登录的顶级账户、源IP、用户失败尝试次数、成功登录及外部活动热图。通过多条查询识别潜在安全威胁,并展示用户和IP的登录活动统计及地理分布。
🎯
关键要点
- 本文介绍了如何使用Splunk查询创建仪表板,分析SSH遥测数据。
- 查询包括失败登录的顶级账户、源IP、用户失败尝试次数、成功登录及外部活动热图。
- 查询1:识别失败登录尝试最多的用户,使用auth.log文件中的数据。
- 查询2:识别失败登录尝试最多的源IP地址。
- 查询3:统计每个用户的失败登录尝试次数,并按次数排序。
- 查询4:统计成功登录的用户,使用iplocation命令进行地理定位。
- 查询5:创建热图,展示各国的网络活动分布,使用geom命令可视化结果。
➡️
