SPL Splunk 查询语言

Search Processing Language —— Splunk 的查询语言,用来从海量 日志里捞出想要的信息。

长什么样

SPL 用管道 | 串联命令,跟 Unix 管道很像:

index=auth action=failure | stats count by user | where count > 5

读法:在 auth 索引里找登录失败 → 按用户统计次数 → 筛出超过 5 次的。一条就能找出”被暴力破解尝试”的账户。

为什么是 SOC 必备技能

SIEM 告警面板只能看预设的东西,真正的 威胁狩猎和 分析靠分析师手写查询。熟练的人能从 TB 级日志里秒级挖出 IoC。

跟其他查询语言

• SPL —— Splunk
• KQL —— Microsoft Sentinel
• YARA-L —— Google Chronicle
• 都是”在日志里查威胁”的专用语言,换平台要换语法,但思路相通

SPL 是 Splunk 学习曲线的核心,也是很多安全岗位的硬要求。