0、Splunk学习之路说明

0、说明：

帖子是个人日常使用splunk进行安全运营工作（摸鱼）时在官网翻文档以及学习其他splunk教程梳理下来码下来的学习笔记，如有错误，请多指正。

1、Splunk是干嘛的

splunk是一款很牛逼的机器数据处理平台，工作模式跟知名开源方案elstaticsearch大差不差。通过监控、收集、拉取等各种方式去获得并存储这些数据。

根据这些数据的时间戳通过他程序本身的神秘力量进行重新索引编排，自动解析这些数据字段的键值对，形成一个个事件。利用他的搜索语言SPL（最最最最最重要的功能），对这些事件的相关字段进行搜索，对搜索结果进行可视化处理，输出报表、定时告警、仪表盘等。

2、splunk解决方案

splunk是闭源的。同名公司splunk也围绕splunk平台开发了各种解决方案，主要有：

安全运营：

# 最主要的平台，根据不同功能及部署架构（收、存、索引、查、运维管理）呈现不同的角色
Splunk Enterprise（核心）   可以申请使用


#splunk支持安装app，es就是个扩展APP，赋予安全功能，官方根据att&ck框架，
#对不同日志数据编写了各种SPL查询语句，找出并定制了靓靓的安全告警仪表板，要钱
Splunk Enterprise Security （ES）


#类似ndr，用户行为分析，一个独立的软件，通过从核心平台收集来的流量日志，
# 运用神秘机器学习力量进行关联分析，挖掘未知告警 返回给核心平台，要钱
Splunk User Behavior Analytics （UBA）


#自动化操作工具，通过定制自动化剧本对不同告警联动各种网络、安全设备等进行各种自动化处理
# 比如联动防火墙拦截IP，拦截域名等等，主要工作模式是REST API，要钱
Splunk SOAR

IT运营：

ITSI：没了解过
Splunk VictorOps：没了解过

3、splunk-enterprise主要学习路线：

1. 在各种平台安装splunk

2. 导入各种数据

3. 各种方式搜索数据

4. 对搜索结果整理成报表或是定期告警

5. 制作各种仪表盘，数据图
   

6. 整体布局及其他运维操作

关于 Splunk Enterprise - Splunk Documentation