1   安全分析插件

守望者前段时间刚分析了一下Splunk App For Enterprise Security，并总结了篇文章《看一看威胁情报相关的安全分析插件（Splunk平台）》请关注守望者实验室可阅读。目前团队为了将分析能力实体化，最近也基于安全实践经验结合用户的实际需求制作了专门的的Splunk App For Enterprise Security。

我们会将watcherlab打造一个安全分析的社区共享平台，后续陆续推出新的基于不同平台的分析app。

2   安全分析app制作流程与方法

Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备（物理、虚拟和云中）生成的快速移动型计算机数据 ，从一个位置搜索并分析所有实时和历史数据。

Splunk的所有应用app都在应用里面（包含通常所用的Search & Reporting），实现简单的app可以参考以下流程：

(1)、创建app：

      里面注明app的基本信息即可

点击保存，基本上一个app的雏形已经出来了，返回主页便可以看见我们前面创建的app了。

      (2)、丰富app内容

      采用仪表盘来呈现数据的内容，创建仪表盘，如下图所示：

仪表盘中支持添加时间输入，只需添加输入——-时间便可（时间在使用过程中是可以调整的）。

接下来到数据展示部分了，即添加并使用特定规则语句生成面板，如下图：

下图使用host=fa status=200 select AND union | top limit=10 client来生成饼图，使用host=fa | timechart useother=false usenull=false count as “*” by client来生成曲线图（其中host=fa代表日志源，client是客户端IP，status=200 select AND union是注入的检索条件）。

(3)、修改页面呈现

配置页面路径为$splunk_home/etc/app/appname/ default/data/ui/nav/default.xml，可以通过修改default.xml文件来实现对页面的修改，如下图所示是本次所使用页面配置文件

修改完配置信息，重启splunk即可，如下图：

至此，简易app已经制作完成。在使用过程中，可以利用splunk语句对面板搜索字符串进行更改，实现对数据的精确处理展现。