首页 » 未分类 » 正文

Splunk搭建社工库

splunk:软件下载链接

1.导入数据库

 

导入数据库测试xls上传上去是16进制,不知道为什么。

可以设置默认配置,我这边选择数据库类型。

另存为可以直接添加数据库类型名称。

 

索引可以选择默认可以自己添加。

默认和自己添加搜索有区别。

默认搜索:可以直接搜索比如admin所有字段

添加搜索:比如我添加的是sgk 搜索index=”sgk” admin  这样才可以搜索不然直接搜索不出来。

搜索指定数据库里面所有内容:

source=”cnhonkerarmy.sql” host=”localhost.localdomain” index=”sgk” sourcetype=”mysqld_error”

source=”cnhonkerarmy.sql” host=”localhost.localdomain” index=”sgk” sourcetype=”mysqld_error”   admin

搜索指定数据库里面admin用户

index=”sgk” admin

可以搜索skg所有库里面的内容

 

2.设置字段

提取字段可以提取自己需要的内容

有2个选择 我这边选择正则表达式

提取账号密码

字段名字可以任意设置我这边设置yuag

提取成功是这样显示的。

搜索任意10个账号和密码

index=”sgk” |top 10 “yuag”

 

本文共 2 个回复

  • hiw 2017/09/23 13:24

    没搞懂,我上传的12.sql 为什么里面搜不到。有没有视频教程啊? 😡

    • 小雨 博主 2017/09/24 08:55

      @ hiw 如果你是直接上传,比如我想搜索admin就直接搜索,如果您建立了xxxx库搜索方法应该是 index=”你设置的名字” xxx(你想搜索的数据),并没有视频

发表评论

You must enable javascript to see captcha here!