由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

前言

对于攻防场景中，我们经常会遇到需要进行日志分析的时候，但是实战场景中，我们拿到的日志量经常是非常大的，很多时候是十几台主机的日志甚至更多。今天带来一个工具splunk，帮助我们快速分析。

正文

拿到安装包后直接安装。

今天我们拿windwos本地日志拿来做例子，正常splunk上传不能解析evtx格式的日志，需要我们配置一下loclal目录下的配置来解析evtx日志。

这里拿自己个人电脑的日志做demo

当我们排查入侵的时候，可以选中进程名进行快速分析，这样可以帮助我们快速的排查一些可疑进程，进而进行样本分析判断。

也可以进行可视化分析

通过可视化分析，快速判断

通过对于关键字段进行过滤排查

如果是多台机器，可以通过限制源IP，将多台机子的安全日志都导入到splunk当中，排查出这台机子对于其他机器的RDP登录情况，以及爆破情况，这是其中一个思路，利用这个平台，可以帮助我们快速的找到异常，从而进一步分析。