software

构建虚拟化网络安全实验室:Splunk SIEM 设置与日志转发

发布: (2025年12月13日 GMT+8 11:20)
4 min read
原文: Dev.to

Source: Dev.to

对强大日志的需求

在我的 Active Directory 环境已经完整部署并且所有客户端系统都加入域之后,下一步在我的家庭实验室之旅中就是建立可视化。身份服务为身份验证和访问奠定了基础,但如果没有集中式日志记录,就无法了解环境的行为、检测异常活动或分析模拟攻击的影响。这正是 SIEM(安全信息与事件管理)发挥作用的地方。

在本文中,我将重点介绍在我的主要 SIEM 平台上安装和配置 Splunk,然后从我的 Ubuntu Desktop、Windows 11 和 Windows Server 2025 虚拟机转发日志。我的目标是构建一个真实的监控栈,模拟安全团队在生产环境中依赖的方案——将身份验证日志、系统活动和安全相关事件集中捕获。

Splunk 为我提供了一个极好的起点,用于了解企业日志摄取、解析和检测逻辑。未来的迭代中,我可能会将此虚拟机迁移到 Wazuh,或在 Splunk 旁边运行单独的 Wazuh 部署,以比较 SIEM 平台并扩展我的防御技能。

本文标志着项目“可视化”阶段的开始——将原始系统活动转化为可操作的洞察。

实验室架构提醒

在深入配置之前,这里是当前阶段的高层实验室设计。

homelab topology

当前环境包括:

  • pfSense(路由器/防火墙)
  • lab‑LAN 内部网络
  • Windows Server 2022(域控制器 + DNS)
  • Windows 11 终端
  • Ubuntu Desktop 终端

网络完成后,身份层位于此受控环境之上。

过程概览

下面是已执行的主要配置步骤摘要。截图用于记录过程。

步骤 1 – 在 Ubuntu 上安装 Splunk

sudo dpkg -i splunk-9.0.x-linux-x64.deb
sudo /opt/splunk/bin/splunk start --accept-license
sudo /opt/splunk/bin/splunk enable boot-start

splunk server start and boot enable

访问 Splunk Web GUI
在浏览器中打开 https://<your‑host>:8000
默认管理员登录:admin / 您设置的密码

splunk web GUI dashboard

步骤 2 – 在 Splunk 中配置输入 / 监听器

  1. 前往 Settings → Data Inputs → Forwarded Data / UDP / TCP
  2. 设置:
    • UDP 514(Syslog)用于 Linux 和 pfSense
    • TCP 9997(Splunk forwarder 的默认端口)

启用监听器:

sudo /opt/splunk/bin/splunk enable listen 9997

splunk listening ports

计划收集的日志

  • 安全日志
  • Sysmon 运行日志
  • 身份验证事件
  • DNS 日志(来自 DC)
  • Linux 认证日志
  • pfSense 防火墙日志

步骤 3 – 转发 Windows 日志

  1. 在 Windows 11 和 Windows Server 2025 上下载并安装 Splunk Universal Forwarder
  2. 配置 forwarder 将日志发送到 Splunk 服务器:
c:\Program Files\SplunkUniversalForwarder\bin\splunk add forward-server <splunk‑host>:9997
c:\Program Files\SplunkUniversalForwarder\bin\splunk add monitor "C:\Windows\System32\winevt\Logs\Security.evtx"
c:\Program Files\SplunkUniversalForwarder\bin\splunk add monitor "C:\Windows\System32\winevt\Logs\System.evtx"
c:\Program Files\SplunkUniversalForwarder\bin\splunk start

Windows forwarder configuration and test connection

为了获取更丰富的遥测信息,使用 SwiftOnSecurity 配置安装了 Sysmon。

步骤 4 – 转发 Linux 日志

在 Ubuntu 虚拟机上:

sudo apt install rsyslog

创建转发规则:

sudo vim /etc/rsyslog.d/60-splunk.conf

添加以下行:

*.* @@<splunk‑host>:514

重启 rsyslog:

sudo systemctl restart rsyslog

rsyslog 60-splunk.conf content

步骤 5 – 转发 pfSense 日志

  1. 登录 pfSense WebGUI。
  2. 前往 Status → System Logs → Settings
  3. Remote Syslog Servers 下,添加 Splunk IP 并使用 UDP 514。
  4. 勾选所有需要转发的日志类型。

pfSense remote syslog configuration

Back to Blog

相关文章

阅读更多 »