如果你想對主機入侵情況進行有效的日誌分析,我們可以淺談splunk聯合sysmon對windows主機日誌進行可視化分析
**splunk** 是一個日誌收集分析工具,通過官網即可下載
**先看看整體效果圖**
## 接下來我們先來安裝這兩款工具##
**sysmon安裝方法**
網上下載sysmon安裝包,打開,利用cmd到當前目錄下,輸入sysmon64.exe –i –n即可完成安裝,前提是要用管理員身份運行
這個時候,我們可以在命令行輸入compmgmt.msc到事件查看器
選擇sysmon,即可查看到本機操作的所有日誌。
但是日誌看起來冗餘而且不明朗,接下來安裝splunk,對事件進行篩選分析可視化。
**splunk安裝方法**
前往官網下載安裝splunk,安裝後自動打開splunk,可以看到如下界面
接下來我們需要將其和日誌進行關聯起來:
將以下內容寫入到splunk目錄下/etc/system/local/inputs.conf中
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = false
renderXml = true
我的版本是7.x.x版本inputs.conf文件為此目錄,其他版本inputs目錄可能存在差異,具體可以用everything搜索一下inputs.conf的具體位置。
說明:由於權限的關係,無法直接修改裡頭的內容,可在桌面新建好相應文件,添加好內容後,替換掉inputs.conf文件。
除此之外,還需要安裝一個插件:
插件名稱叫做:
Splunk "Add-on for MicrosoftSysmon
可去
解壓出來為TA-microsoft_windows文件夾,放到Splunk\etc\apps
目錄下即可
這個時候需要重啟一下我們的splunk,但是由於是WEB版本,並非直接關閉打開可重啟,需要通過以下方式方可重啟splunk:
----
在cmd命令中打開安裝路徑下的bin目錄
----
輸入splunk.exe stop 等待執行完畢,完成關閉splunk
----
再敲下splunk.exe start,等待所有服務開啟即重啟完畢
這個時候我們就可以搜索我們的日誌了
點擊:Search&reporting
然後搜索:
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"
即可看到所有事件了
**利用powershell執行後門連接主機**
接下來我們可以嘗試用cobaltstrike 來進行生成一個powershell的後門,與服務器建立連接,看看日誌監控的情況:
先收成一個powershell的後門文件
前往頁面訪問後門文件是否正常,
OK,準備就緒,執行powershell後門文件
已成功上線
執行列文件與列進程操作
接下來我們查看splunk日誌
Ok,sysmon+splunk聯合起來做主機日誌分析還是非常強大的~
小夥伴如果還想深入可去查看官方文檔使用手冊哦。
閱讀更多 軒轅攻防實驗室 的文章