Tutoriel 🗡 Feuille de triche pour la journalisation Splunk sur Windows 10/11

[Sylvain*]

Introduction

Cette feuille de triche fournit un guide rapide pour la journalisation avec Splunk sur Windows 10/11. Splunk est un outil puissant pour surveiller, rechercher et analyser les données de journalisation générées par vos systèmes et applications.

---

Prérequis

• Windows 10 ou Windows 11

• Compte Splunk et Splunk installé

• Connaissances de base en PowerShell et en Splunk

---

Procédure

Commandes de base pour la journalisation Splunk

---

Commande	Description	Utilisation
Add-Content	Ajoute du contenu à un fichier de journalisation local	Add-Content -Path "C:\Splunk\logs\log.txt" -Value "Nouveau log ajouté"
Write-Output	Écrit la sortie spécifiée dans un fichier de journalisation local	`Write-Output "Ceci est un log"
Start-Transcript	Commence une transcription de la session PowerShell pour la journalisation	Start-Transcript -Path "C:\Splunk\logs\transcript.txt"
Stop-Transcript	Arrête la transcription de la session PowerShell	Stop-Transcript
Invoke-RestMethod	Envoie des données de journalisation à Splunk via HTTP Event Collector (HEC)	Invoke-RestMethod -Method Post -Uri "https://splunk-server:8088/services/collector/event" -Body (ConvertTo-Json -Compress -InputObject @{event="Nouveau log ajouté"; sourcetype="_json"}) -Headers @{"Authorization"="Splunk <token>"}
Get-Content	Affiche le contenu d'un fichier de journalisation local	Get-Content -Path "C:\Splunk\logs\log.txt"
Set-Content	Écrit ou remplace le contenu dans un fichier de journalisation local	Set-Content -Path "C:\Splunk\logs\log.txt" -Value "Contenu remplacé"
Write-EventLog	Écrit une entrée dans le journal des événements Windows, que Splunk peut ensuite collecter	Write-EventLog -LogName "Application" -Source "MyApp" -EventID 1000 -EntryType Information -Message "Processus terminé avec succès"
Get-EventLog	Obtient les entrées du journal des événements Windows pour analyse par Splunk	Get-EventLog -LogName "Application" -Newest 10
splunk add monitor	Ajoute un fichier ou un répertoire à surveiller par Splunk	splunk add monitor "C:\Splunk\logs\" -index main -sourcetype my_logs
splunk search	Effectue une recherche dans les journaux indexés par Splunk	splunk search "search index=main sourcetype=my_logs" -earliest_time -1h

---

Avertissement

Assurez-vous que les chemins de fichiers et les permissions sont correctement configurés pour éviter les erreurs d'accès lors de la journalisation. Vérifiez également que votre token Splunk HTTP Event Collector (HEC) est correctement configuré.

---

Conseil

Utilisez Start-Transcript et Stop-Transcript pour une solution simple de journalisation complète de la session PowerShell, et configurez Splunk pour surveiller ce fichier de transcription.

---

Référence

• Recherche Support Microsoft

• Recherche Learn Microsoft

• Recherche Google

• Recherche Bing

---

Conclusion

Cette feuille de triche vous a fourni les commandes essentielles pour la journalisation avec Splunk sur Windows 10/11. Utilisez ces commandes pour surveiller, déboguer et documenter efficacement les actions effectuées sur votre système, tout en tirant parti de la puissance de Splunk pour analyser vos journaux.