Bitwarden 帮助中心中文版
⮐ Bitwarden Help Center个人主页联系我
  • 关于
  • 首页
  • 发行记录
  • 账户访问
    • 创建 Bitwarden 账户
    • 选择服务器
    • 登录 & 解锁
      • 主密码
      • 忘记主密码
      • 自动注销或锁定
      • 新设备登录保护
      • 使用单点登录
        • 使用 SSO 登录
        • 添加受信任设备
      • 更多登录选项
        • 登录到多个账户
        • 使用设备登录
        • 使用通行密钥登录
        • 使用紧急访问登录
      • 更多解锁选项
        • 使用生物识别解锁
        • 使用 PIN 码解锁
    • 两步登录
      • 为何要使用两步登录?
      • 设置两步登录
        • 两步登录方式
        • 两步登录 - 验证器
        • 两步登录 - 电子邮箱
        • 两步登录 - Duo
        • 两步登录 - YubiKey
        • 两步登录 - 通行密钥
      • 获取恢复代码
      • 无法访问两步登录
      • 两步登录 FAQ
  • Password Manager
    • Password Manager 概述
    • 入门
      • Password Manager 网页 App
      • Password Manager 浏览器扩展
      • Password Manager 移动 App
      • Password Manager 桌面 App
    • 密码库基础
      • 密码库项目
      • 用户名 & 密码生成器
      • 自定义字段
      • 集成的身份验证器
      • 文件附件
      • 共享
      • 集合
    • 密码库管理
      • 文件夹
      • 收藏
      • 同步密码库
      • 检索密码库
      • 密码库健康报告
    • 导入 & 导出
      • 导入数据到密码库
      • 导入指南
        • 从 LastPass 导入
        • 从 1Password 导入
        • 从 Keeper 导入
        • 从 Dashlane 导入
        • 从 Google Chrome 导入
        • 从 macOS & Safari 导入
        • 从 Firefox 导入
        • 从 Password Safe 导入
        • 从 Myki 导入
      • 导出密码库数据
      • 加密导出
      • 调整 Bitwarden .csv 或 .json
      • *Bitwarden 导入器工具
      • 导入 & 导出 FAQ
    • 自动填充
      • 从 ... 自动填充
        • 从浏览器扩展自动填充
        • 从浏览器扩展自动保存
        • 从 iOS App 自动填充
        • 从 Android App 自动填充
      • 更多自动填充选项
        • 自动填充通行密钥
        • 自动填充支付卡 & 身份
        • 自动填充自定义字段
        • 自动填充基本验证提示
        • 对指定网站屏蔽自动填充
        • 对指定网站屏蔽自动保存
        • 键盘快捷键
      • 自动填充故障排除
        • 用于自动填充的 URI
        • 禁用浏览器的内置密码管理器
        • Android 自动填充故障排除
      • 自动填充 FAQ
    • Bitwarden Send
      • 关于 Send
      • 创建 Send
      • 接收 Send
      • Send 生命周期
      • Send 隐私
      • CLI 上的 Send
      • Send 加密
      • Send FAQ
    • 开发者工具
      • Password Manager API
      • Password Manager CLI
      • CLI 身份验证挑战
      • 用于 CLI 验证的个人 API 密钥
      • SSH 代理
    • 更多
      • Password Manager FAQ
      • 更改 App 主题
      • 本地化
      • DuckDuckGo macOS 浏览器集成
      • Apple Watch 上的 Bitwarden
      • 在 Firefox 隐私窗口中使用 Bitwarden
      • 离线使用 Bitwarden
      • Safari 网页扩展
      • uMatrix 和 NoScript 访问规则
      • 与 Bitwarden 支持排除移动端故障
  • Bitwarden Authenticator
    • Bitwarden Authenticator
    • 导入 & 导出
    • FAQ
  • Secrets Manager
    • Secrets Manager 概述
    • 入门
      • Secrets Manager 快速入门
      • 开发人员快速入门
      • 登录 Secrets Manager
      • 管理您的组织
    • 您的机密
      • 工程
      • 机密
      • 机器账户
      • 访问令牌
      • 机密解密
    • 导入 & 导出
      • 导入数据
      • 导出数据
    • 开发人员工具
      • Secrets Manager CLI
      • Secrets Manager SDK
    • 集成
      • Ansible
      • GitHub Actions
      • GitLab CI/CD
      • Secrets Manager Kubernetes Operator
    • 更多
      • Secrets Manager FAQ
  • 管理控制台
    • 组织快速入门
    • 组织基础
      • 组织
      • 集合
      • 群组
      • 企业策略
      • 集合管理
    • 用户管理
      • 用户管理
      • 成员角色和权限
      • 声明域名
      • 声明账户
      • 账户恢复
      • SCIM
        • 关于 SCIM
        • JumpCloud SCIM 集成
        • Microsoft Entra ID SCIM 集成
        • Okta SCIM 集成
        • OneLogin SCIM 集成
        • Ping Identity SCIM 集成
      • 目录连接器
        • 关于目录连接器
        • 目录连接器桌面 App
        • 目录连接器 CLI
        • 目录连接器文件存储
        • 同步选项和筛选器
        • 清除同步缓存
        • 调度同步
        • 使用 AD 或 LDAP 同步
        • 使用 Microsoft Entra ID 同步
        • 使用 Google Workspace 同步
        • 使用 Okta 同步
        • 使用 OneLogin 同步
      • 入职和继任概述
    • 导入 & 导出
      • 导入数据到组织
      • 导出密码库数据
      • 调整 Bitwarden .csv 或 .json
    • SSO 登录
      • 关于 SSO 登录
      • SAML 2.0 配置
      • OIDC 配置
      • 成员解密选项
      • 声明域名
      • 实施指南
        • ADFS SAML 实施
        • Auth0 SAML 实施
        • AWS SAML 实施
        • Duo SAML 实施
        • Google SAML 实施
        • JumpCloud SAML 实施
        • Keycloak SAML 实施
        • Microsoft Entra ID SAML 实施
        • Okta SAML 实施
        • OneLogin SAML 实施
        • Ping Identity SAML 实施
        • ADFS OIDC 实施
        • Microsoft Entra ID OIDC 实施
        • Okta OIDC 实施
        • Ping Identity OIDC 实施
        • Cloudflare Zero Trust SSO 实施
      • 受信任设备
        • 关于受信任设备
        • 设置受信任设备 SSO
        • 批准受信任设备
      • *在您的 IdP 上配置 Bitwarden(SAML 2.0)
      • SSO 登录 FAQ
    • 报告
      • 密码库健康报告
      • 事件日志
      • 监控事件日志
      • 配置 SIEM
        • Elastic SIEM
        • Microsoft Sentinel SIEM
        • Panther SIEM
        • Rapid7 SIEM
        • Splunk SIEM
    • 最终用户入职
      • 关于本章节
      • 欢迎电子邮件模板
      • 管理团队入职电子邮件
      • 最终用户采用电子邮件
      • 客户激活套件
      • 入职流程
    • 部署客户端 App
      • 部署浏览器扩展
        • 使用 GPO、Linux 策略和 .plist 文件部署浏览器扩展
        • 使用 Intune 部署浏览器扩展
      • 部署桌面端 App
        • 使用 Intune 部署桌面端 App
      • 部署移动端 App
        • 使用 Intune 部署移动端 App
      • 连接托管设备
      • 使用设备管理停用浏览器密码管理器
    • Bitwarden 公共 API
    • 更多
      • 组织 FAQ
      • 链接到项目
      • 企业版 Bitwarden 功能数据表
      • 团队版和企业版迁移指南
      • LastPass 企业版迁移指南
      • 组织所有者离职时的访问权限管理
      • 组织赞助的家庭计划
      • PoC 项目清单
      • 为生产准备试用组织
      • *团队版 Bitwarden 对比指南
  • 提供商门户
    • 提供商门户概览
    • 提供商门户快速入门
    • 提供商用户
    • 添加客户组织
    • *添加现有组织
    • 持续管理
    • 取消链接客户组织
    • 提供商事件日志
    • 提供商计费
    • 提供商 FAQ
    • 业务单元门户
      • 业务单元门户
      • 业务单元门户快速入门
  • 自托管
    • 部署计划
      • 自托管 Bitwarden
      • 自托管检查清单
      • 自托管组织
      • 迁移到新服务器
    • 部署 & 配置
      • 使用 Docker 部署
        • Linux 标准部署
        • Linux 手动部署
        • Linux 离线部署
        • Windows 标准部署
        • Windows 离线部署
        • Unified 部署 (Beta)
      • 使用 Helm 部署
        • 使用 Helm 自托管
        • AWS EKS 部署
        • Azure AKS 部署
        • OpenShift 部署
        • 添加 rawManifest 文件
      • 配置选项
        • 环境变量
        • 证书选项
        • 数据库选项
        • 连接到外部 MSSQL 数据库
        • 配置推送中继
        • Kerberos 集成
      • 可选功能
        • 自托管 Send
        • 自托管 SCIM
        • 自托管家庭赞助
    • 连接客户端
      • 连接托管设备
      • 连接个人客户端
    • Key Connector
      • 关于 Key Connector
      • 部署 Key Connector
    • 系统管理员门户
    • 组织或高级用户许可证
    • 更新服务器
    • 备份服务器数据
    • *作为 MSP 部署 Bitwarden
    • 托管 FAQ
  • 安全
    • Bitwarden 安全白皮书
    • 数据
      • 加密的数据
      • 管理数据
      • 数据存储
      • 网站图标的数据隐私
    • 加密
      • 加密协议
      • 加密密钥算法
      • 加密密钥轮换
      • 账户指纹短语
    • 软件开发
      • 服务器 & 客户端版本
      • 软件发布支持
    • 可信任的通讯
      • Bitwarden 域名、端点和 URL
      • 识别来自 Bitwarden 的合法电子邮件
      • 来自 Bitwarden 服务器的电子邮件
    • 合规、审计和认证
    • Bitwarden 分包商
    • 服务器地理位置
    • 安全 FAQ
  • 计划和定价
    • Password Manager
      • Password Manager 计划
      • 从个人升级到组织
      • 兑换家庭赞助
      • 高级会员续费
    • Secrets Manager
      • Secrets Manager 计划
      • 注册 Secrets Manager
    • Bitwarden 经销商
    • 开始企业版试用
    • 组织续费
    • 更新计费信息
    • 税费计算
    • 删除账户或组织
    • 取消订阅
    • 计费 FAQ
    • *更新 Bitwarden 计划 (2019-2020)
    • *更新 Password Manager 计划 & 订阅
    • *哪种计划适合我?
  • 学习中心
    • 关于学习中心
    • 使用 Bitwarden 的第一步
    • 了解 Password Manager
    • Password Manager
      • Bitwarden 入门:个人用户
      • Bitwarden 入门:管理员
      • Bitwarden 入门:成员
      • Bitwarden 入门:经销商或 MSP
    • Bitwarden 高级用户
    • 面向企业管理员的 Bitwarden
    • 了解 Secrets Manager
    • 面向 MSP 的 Bitwarden
    • 了解 Passwordless.dev
  • *杂项
    • 异常流量错误
    • 11 月弃用通知
    • Bitwarden 术语表
    • 迁移脚本
    • Bitwarden 101 视频系列-入门
    • Secrets Manager Beta 版注册
    • 未分配的密码库项目已移至管理控制台
    • 原生移动 App
    • *通行密钥 FAQ
  • 附录
    • 翻译约定
    • 资源
由 GitBook 提供支持
在本页
  • 设置
  • 创建 Splunk 账户
  • 安装 Splunk
  • 创建索引
  • 安装 Splunk Enterprise Bitwarden 应用程序
  • 连接您的 Bitwarden 组织
  • 使用搜索宏开始监控数据
  • 搜索宏权限
  • 了解仪表板
  • 时间范围
  • 查询参数
  • 附加资源
  • 设置用户角色
  • 删除数据
  1. 管理控制台
  2. 报告
  3. 配置 SIEM

Splunk SIEM

上一页Rapid7 SIEM下一页最终用户入职

最后更新于1个月前

对应的

Splunk Enterprise 是一个安全信息和事件管理 (SIEM) 平台,可与 Bitwarden 组织一起使用。组织可以使用 Splunk Enterprise 仪表板上的 Bitwarden App 监控活动。

设置

创建 Splunk 账户

在 Splunk Enterprise 上安装 Bitwarden 应用程序要求 账户。

安装 Splunk

拥有 Splunk Base 账户后,下一步就是安装 Splunk Enterprise。按照 完成自托管企业软件的安装。

Bitwarden 应用目前在 Splunk Enterprise 的 Linux x64 架构上受支持。

创建索引

在将您的 Bitwarden 组织连接到 Splunk Enterprise 之前,需要先创建索引来维护 Bitwarden 数据。

1、打开位于顶部导航栏上的 Settings 菜单,然后选择 Indexes。

2、进入索引界面后,选择 New Index。

3、将出现一个供您为 Bitwarden 应用程序创建新索引的窗口。

4、在 Index Name 字段中,输入 bitwarden_events。

创建索引唯一需要的字段是 Index Name。其余字段可以根据需要进行调整。

5、完成后,选择 Save。

安装 Splunk Enterprise Bitwarden 应用程序

创建 Bitwarden 索引后,导航到 Splunk Enterprise 仪表板。

1、选择 Apps 旁边的 ⚙️齿轮图标。

2、选择位于屏幕右上角的 Browse more apps。

3、在应用程序目录中搜索 Bitwarden Event Logs。为 Bitwarden Event Logs - Linux x64 应用程序选择 Install。

5、输入信息后,选择 Agree and Install。

安装 Bitwarden 应用程序后,您可能需要重新启动 Splunk。

连接您的 Bitwarden 组织

1、转到仪表板主页然后选择 Bitwarden Event Logs 应用程序。

2、接下来从顶部导航菜单中选择 Setup。这里是您添加 Bitwarden 组织信息的地方。

3、保持此界面打开,在另一个选项卡上,访问您的 Bitwarden 网页密码库。打开您的组织,导航至设置 → 组织信息 → 查看 API 密钥。系统会要求您重新输入主密码,以访问 API 密钥信息。

4、将 client_id 和 client_secret 值复制并粘贴到 Splunk 设置页面上的相应位置。

按如下方式完成附加字段:

字段
值

Index

选择之前在指南中创建的索引:bitwarden_events。

Server URL

对于自托管 Bitwarden 用户,请输入您的自托管 URL。请确保该 URL 在末尾不包含正斜杠 「/」。 对于云托管组织,请使用 URL https://bitwarden.com。

组织 API 密钥拥有对您的组织的所有访问权限。确保您的 API 密钥的私密。如果您认为您的 API 密钥已被泄露,请选择此姐买你上的轮换 API 密钥按钮。当前 API 密钥的活动实施在使用前需要使用新密钥重新配置。

5、选择 Submit。

6、完成设置后,请转到 Settings → Server controls → Restart Splunk,重新启动 Splunk Enterprise。

使用搜索宏开始监控数据

要开始查看数据,您可以设置搜索宏。Splunk 搜索宏是可重复使用的搜索查询,可应用于您的仪表板。

1、要添加搜索宏,请转到顶部导航栏上的 Settings。然后,选择 Advanced Search。

2、接下来,选择 ✚Add new。进入创建宏屏界面后,请填写以下字段:

字段
定义

Destination app

将应用此宏的应用程序。 Bitwarden 目标应用程序是 bitwarden_event_logs。

Name

宏的名称。您正在使用的宏采用附加到宏名称的参数。 Bitwarden 的宏名称是 bitwarden_event_logs_index。

Definition

该字段将包含搜索宏在搜索中引用时扩展的字符串。包含的参数将用美元符号括起来,例如 $arg$。

输入 index=* 以在宏中进行广泛搜索。搜索中需要通配符 *。可以在宏设置之后从搜索功能执行更具体的查询。

Arguments

在以逗号分隔的参数名称字符串中输入参数。参数名称只能包含字母数字、「_」和「-」字符。

创建宏不需要此字段。

Validation Expression

输入运行宏参数的 eval 或布尔表达式。 创建宏不需要此字段。

Validation Error Message

输入验证表达式返回 false 时要显示的消息。 创建宏不需要此字段。

3、将所有信息输入宏字段后,选择 Save。

搜索宏权限

接下来,设置哪些用户角色有权使用宏:

1、通过选择 Settings → Advanced Search → Search macros 来查看宏。

2、在要编辑的宏上选择 Permissions。

3、编辑以下权限:

字段
描述

Object should appear in

要在事件搜索中使用宏,请选择 This app only。如果选择了 Keep private,宏将不会应用。

Permissions

为具有读取和写入访问权限的用户角色选择所需的权限。

4、编辑所需权限后,选择 Save。

在给定时间,只有一个搜索宏可以在应用程序上运行。

了解仪表板

仪表板将提供多个用于监控和可视化 Bitwarden 组织数据的选项。数据监控的三个主要类别包括:

  • Bitwarden 身份验证事件

  • Bitwarden 密码库项目事件

  • Bitwarden 组织事件

仪表板上显示的数据将为各种搜索提供信息和可视化。可以通过选择仪表板顶部的 Search 选项卡来完成更复杂的查询。

时间范围

从 Search 页面或 Dashboards 进行搜索时,可以将搜索指定为特定的时间范围。

Bitwarden 事件日志搜索支持以下时间范围:

  • Month to date

  • Year to date

  • Previous week

  • Previous business week

  • Previous month

  • Previous year

  • Last 30 days

  • All time

查询参数

搜索的结构:

search | commands1 arguments1 | commands2 arguments2 | ...

标准搜索结果对象的示例:

标准搜索对象中显示的字段可以包含在任何特定搜索中。包括以下所有值:

值
示例结果

actingUserEmail

执行操作的用户的电子邮件。

actingUserId

执行操作的用户的唯一 ID。

actingUserName

执行操作的用户的名称。

date

以 YYYY-MM-DD TT:TT:TT 格式显示的事件日期。

device

用于标识执行操作的设备的数字。

hash

ipAddress

执行事件的 IP 地址。

memberEmail

操作针对的组织成员的电子邮件。

memberId

操作针对的组织成员的唯一 ID。

memberName

操作针对的组织成员的名称。

type

搜索所有:

sourcetype="bitwarden:events" type=*

按特定字段过滤结果:

在以下示例中,搜索正在查找带有 * 通配符的 actingUserName,这将显示所有带有 actingUserName 的结果。

sourcetype="bitwarden:events" actingUserName=*Text 

AND 运算符隐含在 Splunk 搜索中。以下查询将搜索包含 type 类型和 actingUserName 的结果。

sourcetype="bitwarden:events" type=1000 actingUserName="John Doe"

通过使用 | 分隔符来包含多个命令。以下将显示最高值为 ipAddress 的结果。

sourcetype="bitwarden:events" type=1115 actingUserName="John Doe" | top ipAddress

附加资源

设置用户角色

管理用户角色以允许个人执行特定任务。要编辑用户角色:

  1. 打开顶部导航栏上的 Settings 菜单。

  2. 从菜单右下角选择 Users。

  3. 在用户界面,找到您要为其编辑权限的用户并选择 Edit。

在此界面,可以填写用户的详细信息。admin、power 以及 can_delete 等权限也可以在此处单独分配。

删除数据

通过使用 SSH 访问清除索引来删除 Bitwarden 搜索数据。在更改被监视的组织等实例中可能需要清除数据。

  1. 访问 Splunk 目录然后 stop Splunk 进程。

  2. 使用 -index 标志清除 bitwarden_events 索引。

  3. 重新启动 Splunk 进程。

4、为了完成安装,您需要输入您的 账户。您的 Splunk Base 账户可能与用于登录自托管 Splunk Enterprise 实例的凭据不同。

在您的 Splunk Enterprise 实例中安装 Bitwarden 事件日志应用程序后,您可以使用 Bitwarden 连接您的 Bitwarden 组织。

通过包含搜索查询来设置特定搜索。Spunk 利用其搜索处理语言 (SPL) 方式进行搜索。有关搜索的更多详细信息,请参阅 。

Splunk 计算的数据哈希。在详细了解 Splunk 的数据完整性。

表示发生的组织事件的事件类型代码。在查看完整的事件代码列表和说明。

Splunk Base
Splunk 文档
此处
此处
官方文档地址
事件
Splunk Base
Splunk 文档
API 密钥
Splunk 应用仪表板
Bitwarden 事件日志应用程序
在 Splunk 上登录并安装 Bitwarden 应用程序
Splunk 浏览所有应用程序
Splunk 索引
Splunk 仪表板上的 Bitwarden
创建 Splunk 搜索宏
设置 Bitwarden 菜单
组织 api 信息
Splunk 宏权限
Splunk 宏访问权限
Splunk 时间范围搜索
Splunk 编辑用户权限
Splunk 搜索结果对象