系列文章

自己动手搭建信息安全可视化平台

续文1，小z介绍了最基础的资产模块 基本完成了一个完整的从数据输入到可视化呈现的最简单过程。就如同下图介绍，splunk支持几乎所有可以产生数据的地方。

后续将介绍几种接入平台的方式及简单的可视化效果及安全场景，本文介绍Missle Map的搭建过程。

syslog是很多设备都支持的 小z先拿这个进行测试。作为可视化平台，小z想到了https://www.fireeye.com/cyber-map/threat-map.html，能否尝试实现这种类似的动态效果呢？这个比资产模块略微复杂一些。

场景，服务器外联

1.场景说明:服务器由于各种各样的原因允许外联，这是是内网安全很大的一个风险点。

2.数据源：出口负载均衡syslog

3.app插件:https://splunkbase.splunk.com/app/3511/

4.配置流程:解析过程

新建index 设置-索引-新建索引-输入索引名称ad

配置syslog:这个每个设备大同小异，配置日志服务器的ip及日志收集端口号，这里用的udp

配置数据输入udp新增 这里设置udp的578端口作为接收syslog的端口

索引选择ad用于接收来自出口负载均衡的syslog

搜索 index=ad 关键字过滤

导入后原始的数据格式 自动过滤出原始数据

有了数据怎样展示出来？假设已经安装了missle map的app，参考missle map的语法规则

语法规则

start_lat 起