Overview

Bài này đơn giản chỉ là áp dụng các hướng dẫn tìm kiếm bên trên để trả lời câu hỏi thôi… dù bên trên hướng dẫn không có hữu ích với phần giải thử thách bên dưới cho lắm :>

Sử dụng dữ liệu từ file tutorialdata.zip

File trên có nhiều thư mục, có vẻ mỗi thư mục phục vụ cho một bài học khác nhau nhưng thực sự không hài lòng lắm khi Letsdefend không nói rõ challenge này sử dụng thư mục nào, làm mình phải mò :>

Challenge này sử dụng file access.log trong thư mục www3 nhé (mình không biết có đúng thế ko nữa, chỉ là mình đã mò lần lượt từng file và thử kết quả từng file và file ở thư mục này cho kết quả đúng .-.)

P/s: Ôi không, giờ tôi mới biết là có thể import cả file zip kia vào Splunk và Splunk tự cook bên trong được :> +1 kinh nghiệm nhỏ tí nữa :»>

Challenge 1

How many different client IPs are there requesting the “/productscreen.html” path?

Solution

Sau khi đã add được file access.log trong thư mục www3 vào Splunk thì ta sẽ có giao diện trông như thế này:

Lăn xuống một chút, để ý bên phải có phần interestiing field, có trường uri_path, click vào đó sẽ cho ra một cửa sổ nhỏ, click vào đường dẫn /productscreen.html Lúc này trên thanh search, truy vấn cũng được thêm để tìm kiếm đúng theo yêu cầu

Tiếp tục trở lại cạnh bên trái, mục Interesting fields có trường clienip, đây chính là kết quả cho challenge, click vào đó sẽ thấy được các thống kê về clientip liên quan đến đường dẫn “/productscreen.html”

Ban đầu mình chỉ nghĩ đơn giản là truy vấn xong đường dẫn /productscreen.html thì kết quả chính là số event ngay bên dưới luôn :> nhưng mà sau đó mới nhận ra, có thể một địa chỉ IP liên quan đến nhiều event thì chuẩn hơn, vậy nên số clientip mới là đúng nhất

Result

Challenge 2

What is the path where the client IP address “128.241.220.82” sends the most web requests?

Solution

Thử thách thứ 2 này thì ngược lại với hướng làm so với thử thách 1, đầu tiên là phải xóa hết các truy vấn của thử thách trước đi đã

Tiếp đến, nhấn vào field clientip để tìm IP 128.241.220.82

Kết quả cho ra sẽ là tất cả các event có liên quan đến 128.241.220.82, tiếp đến tìm trường uri_path và xem đường dẫn nào được truy cập nhiều nhất

Kết quả cho thấy có 11 đường dẫn được truy cập bởi IP 128.241.220.82, trong đó /cart.do là nhiều nhất với 198 lần.

Result