https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html
で「インシデント対応ハンズオン」でやってきたデータが公開されたのでSplunkでやってみる。

その１
その２、その３
その４
その５の続き

準備

https://jpcertcc.github.io/log-analysis-training/
から
https://github.com/JPCERTCC/log-analysis-training
に飛んで、
git clone https://github.com/JPCERTCC/log-analysis-training.git

レポジトリがダウンロードできる。

ソースタイプの設定

今回は前回までと違って、きちんとソースタイプを設定してあげないと、ログの改行などおかしくなってしまう。

the Splunk Add-on for Windowsをインストールして、基本的な設定をSplunkに準備しておく

xmlファイルをアップロードしたら、

1. xmlwineventlogを選択
2. タイムスタンプ・プリフィックスにTime=\"を設定
3. 詳細からSHOULD_LINEMERGEをfalse
4. LINE_BREAKERを([\r\n]+)\<Event xmlns
5. 別名で保存し、次に進む。

これで、データ取り込みはOKとなる。

検索

今回はLogonTracerの使い方の説明なので、Splunkがどうといった話ではないので、フィールドの抽出だけ

source="Security.xml" 
| spath input=EventData_Xml 
| rename Data{@Name} as Data_name 
| eval xml_data=mvzip(Data_name,Data,"=") 
| rename _raw as raw 
| fields - *Data* System_Props_Xml date_* host punct source sourcetype splunk* 
| rename xml_data as _raw 
| kv 
| fields - xml_data _raw 
| rename raw as _raw

これで左側にきちんとフィールド抽出結果がでているので、調査もしやすくなる。

まとめ

その１の感想で「grepと何が違うの？」というのがありました。

Splunkのいいところって、項目抽出が後でもできるので、全体の頻度とかを確認しながら疑いのあるところや必要なものを検索（grep）やら戻ったりして調査できることだと思います。

先ほどの取り込みやSPLのように用意されているものが使えなかったりした場合は苦労することになります。

今回は加工されたログなので、いろいろと調整しましたが
https://docs.splunk.com/Documentation/Splunk/latest/Data/MonitorWindowseventlogdata
と基本的には問題は発生しない（はず）です。

とりあえずはこれにておしまい。

質問とかありましたら、よろしくお願いします。