DEV Community
·
Splunk - SSH仪表板创建
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
本文介绍了如何使用Splunk查询创建仪表板,分析SSH遥测数据,包括失败登录的顶级账户、源IP、用户失败尝试次数、成功登录及外部活动热图。通过多条查询识别潜在安全威胁,并展示用户和IP的登录活动统计及地理分布。
🎯
关键要点
- 本文介绍了如何使用Splunk查询创建仪表板,分析SSH遥测数据。
- 查询包括失败登录的顶级账户、源IP、用户失败尝试次数、成功登录及外部活动热图。
- 查询1:识别失败登录尝试最多的用户,使用auth.log文件中的数据。
- 查询2:识别失败登录尝试最多的源IP地址。
- 查询3:统计每个用户的失败登录尝试次数,并按次数排序。
- 查询4:统计成功登录的用户,使用iplocation命令进行地理定位。
- 查询5:创建热图,展示各国的网络活动分布,使用geom命令可视化结果。
❓
延伸问答
如何使用Splunk创建SSH仪表板?
可以通过多条查询分析SSH遥测数据,包括失败登录的顶级账户、源IP和成功登录等。
Splunk中如何识别失败登录尝试最多的用户?
使用查询识别失败登录尝试最多的用户,查询auth.log文件中的数据并使用top命令。
如何统计每个用户的失败登录尝试次数?
可以使用stats命令统计每个用户的失败登录尝试次数,并按次数排序。
如何在Splunk中创建成功登录的用户统计?
使用iplocation命令进行地理定位,并统计成功登录的用户及其来源IP。
Splunk中如何创建外部活动的热图?
使用geom命令可视化各国的网络活动分布,创建热图展示地理分布。
Splunk的top命令有什么用?
top命令用于找出尝试登录的用户或源IP地址中出现频率最高的前20个。
➡️
