Splunk 插件
Splunk SIEM 客户端,基于 splunk-sdk 实现,为 SIEM 插件提供 Splunk 后端查询能力.
配置方法
- 将
PLUGINS/Splunk/CONFIG.example.py重命名为CONFIG.py - 填写配置项:
| 配置项 | 说明 |
|---|---|
SPLUNK_HOST | Splunk 服务器地址 |
SPLUNK_PORT | 管理端口,默认 8089 |
SPLUNK_USER | 登录用户名 |
SPLUNK_PASS | 登录密码 |
SPLUNK_HEC_URL | HTTP Event Collector 地址,仅 Mock 插件生成测试数据时需要 |
SPLUNK_TOKEN | HEC Token,仅 Mock 插件生成测试数据时需要 |
不使用 Mock 插件 生成测试数据时,SPLUNK_HEC_URL 和 SPLUNK_TOKEN 可留空.
发送告警到 Redis Stream (webhook action)
配置 Forwarder 插件
编写 SPL 后保存为 Alert,具体配置参考下图
Cron Expression / Time Range 部分表示 每 5 分钟执行一次,搜索前 5 分钟数据 (可根据需求自行调整)
Trigger 选择
For each result确保每个结果都独立发送一次 Webhook
Webhook 地址填写为 http://192.168.163.128:7000/api/v1/webhook/splunk 根据实际情况替换 ip 和端口
- Alert 触发后 Forwarder 插件 会打印相关日志
- Redis Insight 可以看到发送到 Stream 的告警信息
