Bitwarden 帮助中心中文版
⮐ Bitwarden Help Center个人主页联系我
  • 关于
  • 首页
  • 发布记录
  • 账户
    • 创建 Bitwarden 账户
    • 登录 & 解锁
      • 主密码
      • 忘记主密码
      • 新设备登录保护
      • 使用 SSO 登录
      • 使用设备登录
      • 使用通行密钥登录 (Beta)
      • 账户切换
      • 使用 PIN 码解锁
      • 使用生物识别解锁
      • 密码库超时选项
    • 两步登录
      • 两步登录现场指南
      • 两步登录方式
      • 设置指南
        • 两步登录 - 验证器
        • 两步登录 - 电子邮箱
        • 两步登录 - Duo
        • 两步登录 - YubiKey
        • 两步登录 - 通行密钥
      • 恢复代码
      • 丢失了辅助设备
      • 两步登录 FAQ
    • 更多
      • 紧急访问
      • 本地化
      • *异常流量错误
  • Password Manager
    • Password Manager 概述
    • 入门
      • Password Manager 网页 App
      • Password Manager 浏览器扩展
      • Password Manager 移动 App
      • Password Manager 桌面 App
    • 密码库基础
      • 密码库项目
      • 用户名 & 密码生成器
      • 自定义字段
      • 集成的验证器
      • 文件附件
      • 共享
      • 集合
      • 存储通行密钥
      • *通行密钥 FAQ
    • 密码库管理
      • 文件夹
      • 收藏
      • 同步密码库
      • 检索密码库
      • 密码库健康报告
    • 导入 & 导出
      • 导入数据到密码库
      • 导入指南
        • 从 LastPass 导入
        • 从 1Password 导入
        • 从 Keeper 导入
        • 从 Dashlane 导入
        • 从 Google Chrome 导入
        • 从 macOS & Safari 导入
        • 从 Firefox 导入
        • 从 Password Safe 导入
        • 从 Myki 导入
      • 导出密码库数据
      • 加密导出
      • 调整 Bitwarden .csv 或 .json
      • *Bitwarden 导入器工具
      • 导入 & 导出 FAQ
    • 自动填充
      • 自动填充基础
        • 在浏览器扩展中自动填充登录
        • 在 Android 上自动填充登录
        • 在 iOS 上自动填充登录
        • 自动填充支付卡和身份
        • 自动填充自定义字段
      • 使用 URI
      • 屏蔽自动填充
      • 基本验证提示
      • 键盘快捷键
      • 禁用浏览器的内置密码管理器
      • Android 自动填充故障排除
      • 自动填充 FAQ
    • Bitwarden Send
      • 关于 Send
      • 创建 Send
      • 接收 Send
      • Send 生命周期
      • Send 隐私
      • CLI 上的 Send
      • Send 加密
      • Send FAQ
    • 开发者工具
      • Password Manager API
      • Password Manager CLI
      • CLI 身份验证挑战
      • 用于 CLI 验证的个人 API 密钥
      • SSH 代理
    • 更多
      • Password Manager FAQ
      • 更改 App 主题
      • DuckDuckGo macOS 浏览器集成
      • Apple Watch 上的 Bitwarden
      • 在 Firefox 隐私窗口中使用 Bitwarden
      • 离线使用 Bitwarden
      • 排除域名
      • Safari 网页扩展
      • uMatrix 和 NoScript 访问规则
      • 与 Bitwarden 支持排除移动端故障
  • Bitwarden Authenticator
    • Bitwarden Authenticator
    • 导入 & 导出
    • FAQ
  • Secrets Manager
    • Secrets Manager 概述
    • 入门
      • Secrets Manager 快速入门
      • 开发人员快速入门
      • 登录 Secrets Manager
      • 管理您的组织
    • 您的机密
      • 工程
      • 机密
      • 机器账户
      • 访问令牌
      • 机密解密
    • 导入 & 导出
      • 导入数据
      • 导出数据
    • 开发人员工具
      • Secrets Manager CLI
      • Secrets Manager SDK
    • 集成
      • Ansible
      • GitHub Actions
      • GitLab CI/CD
      • Secrets Manager Kubernetes Operator
    • 更多
      • Secrets Manager FAQ
  • 管理控制台
    • 组织快速入门
    • 组织基础
      • 组织
      • 集合
      • 群组
      • 企业策略
      • 集合管理
    • 用户管理
      • 用户管理
      • 成员角色和权限
      • 声明域名
      • 声明账户
      • 账户恢复
      • SCIM
        • 关于 SCIM
        • JumpCloud SCIM 集成
        • Microsoft Entra ID SCIM 集成
        • Okta SCIM 集成
        • OneLogin SCIM 集成
        • Ping Identity SCIM 集成
      • 目录连接器
        • 关于目录连接器
        • 目录连接器桌面 App
        • 目录连接器 CLI
        • 目录连接器文件存储
        • 同步选项和筛选器
        • 清除同步缓存
        • 调度同步
        • 使用 AD 或 LDAP 同步
        • 使用 Microsoft Entra ID 同步
        • 使用 Google Workspace 同步
        • 使用 Okta 同步
        • 使用 OneLogin 同步
      • 入职和继任概述
    • 导入 & 导出
      • 导入数据到组织
      • 导出密码库数据
      • 调整 Bitwarden .csv 或 .json
    • SSO 登录
      • 关于 SSO 登录
      • SAML 2.0 配置
      • OIDC 配置
      • 成员解密选项
      • 声明域名
      • 实施指南
        • ADFS SAML 实施
        • Auth0 SAML 实施
        • AWS SAML 实施
        • Duo SAML 实施
        • Google SAML 实施
        • JumpCloud SAML 实施
        • Keycloak SAML 实施
        • Microsoft Entra ID SAML 实施
        • Okta SAML 实施
        • OneLogin SAML 实施
        • Ping Identity SAML 实施
        • ADFS OIDC 实施
        • Microsoft Entra ID OIDC 实施
        • Okta OIDC 实施
        • Ping Identity OIDC 实施
        • Cloudflare Zero Trust SSO 实施
      • 受信任设备
        • 关于受信任设备
        • 设置受信任设备 SSO
        • 添加受信任设备
        • 批准受信任设备
      • Key Connector
        • 关于 Key Connector
        • 部署 Key Connector
      • *在您的 IdP 上配置 Bitwarden(SAML 2.0)
      • SSO 登录 FAQ
    • 报告
      • 密码库健康报告
      • 事件日志
      • Elastic SIEM
      • Microsoft Sentinel SIEM
      • Panther SIEM
      • Rapid7 SIEM
      • Splunk SIEM
    • 最终用户入职
      • 关于本章节
      • 欢迎电子邮件模板
      • 管理团队入职电子邮件
      • 最终用户采用电子邮件
      • 客户激活套件
      • 入职流程
    • 部署客户端 App
      • 部署浏览器扩展
        • 使用 GPO、Linux 策略和 .plist 文件部署浏览器扩展
        • 使用 Intune 部署浏览器扩展
      • 部署桌面端 App
        • 使用 Intune 部署桌面端 App
      • 部署移动端 App
        • 使用 Intune 部署移动端 App
      • 为您的服务器配置客户端
      • 使用设备管理停用浏览器密码管理器
    • Bitwarden 公共 API
    • 更多
      • 组织 FAQ
      • 链接到项目
      • 企业版 Bitwarden 功能数据表
      • 团队版和企业版迁移指南
      • LastPass 企业版迁移指南
      • 组织所有者离职时的访问权限管理
      • PoC 项目清单
      • 为生产准备试用组织
      • *团队版 Bitwarden 对比指南
  • 提供商门户
    • 提供商门户概览
    • 提供商门户快速入门
    • 提供商用户
    • 添加客户组织
    • *添加现有组织
    • 持续管理
    • 取消链接客户组织
    • 提供商事件日志
    • 提供商计费
    • 提供商 FAQ
    • 业务单元门户
      • 业务单元门户
      • 业务单元门户快速入门
  • 自托管
    • 安装 & 部署指南
      • Docker
        • Linux 标准部署
        • Linux 手动部署
        • Linux 离线部署
        • Windows 标准部署
        • Windows 离线部署
        • Unified 部署 (Beta)
      • Helm
        • 使用 Helm 自托管
        • Azure AKS 部署
        • OpenShift 部署
        • AWS EKS 部署
        • 添加 rawManifest 文件
    • 自托管组织
    • 迁移步骤
    • 证书选项
    • 配置环境变量
    • 数据库选项
    • 连接到外部 MSSQL 数据库
    • Kerberos 集成
    • 更新实例
    • 备份托管数据
    • 付费功能许可证
    • 系统管理员门户
    • 为服务器配置客户端
    • 连接客户端到实例
    • 自托管 SCIM
    • 自托管家庭赞助
    • 自托管 Send
    • 配置推送中继
    • *作为 MSP 部署 Bitwarden
    • 托管 FAQ
  • 安全
    • Bitwarden 安全白皮书
    • 密码库数据
    • 管理数据
    • 加密方式
    • KDF 算法
    • 账户加密密钥
    • 账户指纹短语
    • 数据存储
    • 合规、审计和认证
    • 服务器地理位置
    • 版本控制
    • 使用网站图标时的隐私
    • Bitwarden 软件发布支持
    • Bitwarden 的分包商
    • 来自 Bitwarden 的电子邮件
    • Bitwarden 地址
    • 安全 FAQ
  • 计划和定价
    • Password Manager
      • Password Manager 计划
      • 从个人升级到组织
      • 兑换家庭赞助
      • 高级会员续费
    • Secrets Manager
      • Secrets Manager 计划
      • 注册 Secrets Manager
    • Bitwarden 经销商
    • 开始企业版试用
    • 组织续费
    • 更新计费信息
    • 税费计算
    • 删除账户或组织
    • 取消订阅
    • 计费 FAQ
    • *更新 Bitwarden 计划 (2019-2020)
    • *更新 Password Manager 计划 & 订阅
    • *哪种计划适合我?
  • 学习中心
    • 关于学习中心
    • 使用 Bitwarden 的第一步
    • 了解 Password Manager
    • Password Manager
      • Bitwarden 入门:个人用户
      • Bitwarden 入门:管理员
      • Bitwarden 入门:成员
      • Bitwarden 入门:经销商或 MSP
    • Bitwarden 高级用户
    • 面向企业管理员的 Bitwarden
    • 了解 Secrets Manager
    • 面向 MSP 的 Bitwarden
    • 了解 Passwordless.dev
  • *杂项
    • 11 月弃用通知
    • Bitwarden 术语表
    • 迁移脚本
    • Bitwarden 101 视频系列-入门
    • Secrets Manager Beta 版注册
    • 未分配的密码库项目已移至管理控制台
    • 原生移动 App
  • 附录
    • 翻译约定
    • 资源
由 GitBook 提供支持
在本页
  • 设置
  • 创建 Splunk 账户
  • 安装 Splunk
  • 创建索引
  • 安装 Splunk Enterprise Bitwarden 应用程序
  • 连接您的 Bitwarden 组织
  • 使用搜索宏开始监控数据
  • 搜索宏权限
  • 了解仪表板
  • 时间范围
  • 查询参数
  • 附加资源
  • 设置用户角色
  • 删除数据
  1. 管理控制台
  2. 报告

Splunk SIEM

上一页Rapid7 SIEM下一页最终用户入职

最后更新于1个月前

对应的

Splunk Enterprise 是一个安全信息和事件管理 (SIEM) 平台,可与 Bitwarden 组织一起使用。组织可以使用 Splunk Enterprise 仪表板上的 Bitwarden App 监控活动。

设置

创建 Splunk 账户

在 Splunk Enterprise 上安装 Bitwarden 应用程序要求 账户。

安装 Splunk

拥有 Splunk Base 账户后,下一步就是安装 Splunk Enterprise。按照 完成自托管企业软件的安装。

Bitwarden 应用目前在 Splunk Enterprise 的 Linux x64 架构上受支持。

创建索引

在将您的 Bitwarden 组织连接到 Splunk Enterprise 之前,需要先创建索引来维护 Bitwarden 数据。

1、打开位于顶部导航栏上的 Settings 菜单,然后选择 Indexes。

2、进入索引界面后,选择 New Index。

3、将出现一个供您为 Bitwarden 应用程序创建新索引的窗口。

4、在 Index Name 字段中,输入 bitwarden_events。

创建索引唯一需要的字段是 Index Name。其余字段可以根据需要进行调整。

5、完成后,选择 Save。

安装 Splunk Enterprise Bitwarden 应用程序

创建 Bitwarden 索引后,导航到 Splunk Enterprise 仪表板。

1、选择 Apps 旁边的 ⚙️齿轮图标。

2、选择位于屏幕右上角的 Browse more apps。

3、在应用程序目录中搜索 Bitwarden Event Logs。为 Bitwarden Event Logs - Linux x64 应用程序选择 Install。

5、输入信息后,选择 Agree and Install。

安装 Bitwarden 应用程序后,您可能需要重新启动 Splunk。

连接您的 Bitwarden 组织

1、转到仪表板主页然后选择 Bitwarden Event Logs 应用程序。

2、接下来从顶部导航菜单中选择 Setup。这里是您添加 Bitwarden 组织信息的地方。

3、保持此界面打开,在另一个选项卡上,访问您的 Bitwarden 网页密码库。打开您的组织,导航至设置 → 组织信息 → 查看 API 密钥。系统会要求您重新输入主密码,以访问 API 密钥信息。

4、将 client_id 和 client_secret 值复制并粘贴到 Splunk 设置页面上的相应位置。

按如下方式完成附加字段:

字段
值

Index

选择之前在指南中创建的索引:bitwarden_events。

Server URL

对于自托管 Bitwarden 用户,请输入您的自托管 URL。请确保该 URL 在末尾不包含正斜杠 「/」。 对于云托管组织,请使用 URL https://bitwarden.com。

组织 API 密钥拥有对您的组织的所有访问权限。确保您的 API 密钥的私密。如果您认为您的 API 密钥已被泄露,请选择此姐买你上的轮换 API 密钥按钮。当前 API 密钥的活动实施在使用前需要使用新密钥重新配置。

5、选择 Submit。

6、完成设置后,请转到 Settings → Server controls → Restart Splunk,重新启动 Splunk Enterprise。

使用搜索宏开始监控数据

要开始查看数据,您可以设置搜索宏。Splunk 搜索宏是可重复使用的搜索查询,可应用于您的仪表板。

1、要添加搜索宏,请转到顶部导航栏上的 Settings。然后,选择 Advanced Search。

2、接下来,选择 ✚Add new。进入创建宏屏界面后,请填写以下字段:

字段
定义

Destination app

将应用此宏的应用程序。 Bitwarden 目标应用程序是 bitwarden_event_logs。

Name

宏的名称。您正在使用的宏采用附加到宏名称的参数。 Bitwarden 的宏名称是 bitwarden_event_logs_index。

Definition

该字段将包含搜索宏在搜索中引用时扩展的字符串。包含的参数将用美元符号括起来,例如 $arg$。

输入 index=* 以在宏中进行广泛搜索。搜索中需要通配符 *。可以在宏设置之后从搜索功能执行更具体的查询。

Arguments

在以逗号分隔的参数名称字符串中输入参数。参数名称只能包含字母数字、「_」和「-」字符。

创建宏不需要此字段。

Validation Expression

输入运行宏参数的 eval 或布尔表达式。 创建宏不需要此字段。

Validation Error Message

输入验证表达式返回 false 时要显示的消息。 创建宏不需要此字段。

3、将所有信息输入宏字段后,选择 Save。

搜索宏权限

接下来,设置哪些用户角色有权使用宏:

1、通过选择 Settings → Advanced Search → Search macros 来查看宏。

2、在要编辑的宏上选择 Permissions。

3、编辑以下权限:

字段
描述

Object should appear in

要在事件搜索中使用宏,请选择 This app only。如果选择了 Keep private,宏将不会应用。

Permissions

为具有读取和写入访问权限的用户角色选择所需的权限。

4、编辑所需权限后,选择 Save。

在给定时间,只有一个搜索宏可以在应用程序上运行。

了解仪表板

仪表板将提供多个用于监控和可视化 Bitwarden 组织数据的选项。数据监控的三个主要类别包括:

  • Bitwarden 身份验证事件

  • Bitwarden 密码库项目事件

  • Bitwarden 组织事件

仪表板上显示的数据将为各种搜索提供信息和可视化。可以通过选择仪表板顶部的 Search 选项卡来完成更复杂的查询。

时间范围

从 Search 页面或 Dashboards 进行搜索时,可以将搜索指定为特定的时间范围。

Bitwarden 事件日志搜索支持以下时间范围:

  • Month to date

  • Year to date

  • Previous week

  • Previous business week

  • Previous month

  • Previous year

  • Last 30 days

  • All time

查询参数

搜索的结构:

search | commands1 arguments1 | commands2 arguments2 | ...

标准搜索结果对象的示例:

标准搜索对象中显示的字段可以包含在任何特定搜索中。包括以下所有值:

值
示例结果

actingUserEmail

执行操作的用户的电子邮件。

actingUserId

执行操作的用户的唯一 ID。

actingUserName

执行操作的用户的名称。

date

以 YYYY-MM-DD TT:TT:TT 格式显示的事件日期。

device

用于标识执行操作的设备的数字。

hash

ipAddress

执行事件的 IP 地址。

memberEmail

操作针对的组织成员的电子邮件。

memberId

操作针对的组织成员的唯一 ID。

memberName

操作针对的组织成员的名称。

type

搜索所有:

sourcetype="bitwarden:events" type=*

按特定字段过滤结果:

在以下示例中,搜索正在查找带有 * 通配符的 actingUserName,这将显示所有带有 actingUserName 的结果。

sourcetype="bitwarden:events" actingUserName=*Text 

AND 运算符隐含在 Splunk 搜索中。以下查询将搜索包含 type 类型和 actingUserName 的结果。

sourcetype="bitwarden:events" type=1000 actingUserName="John Doe"

通过使用 | 分隔符来包含多个命令。以下将显示最高值为 ipAddress 的结果。

sourcetype="bitwarden:events" type=1115 actingUserName="John Doe" | top ipAddress

附加资源

设置用户角色

管理用户角色以允许个人执行特定任务。要编辑用户角色:

  1. 打开顶部导航栏上的 Settings 菜单。

  2. 从菜单右下角选择 Users。

  3. 在用户界面,找到您要为其编辑权限的用户并选择 Edit。

在此界面,可以填写用户的详细信息。admin、power 以及 can_delete 等权限也可以在此处单独分配。

删除数据

通过使用 SSH 访问清除索引来删除 Bitwarden 搜索数据。在更改被监视的组织等实例中可能需要清除数据。

  1. 访问 Splunk 目录然后 stop Splunk 进程。

  2. 使用 -index 标志清除 bitwarden_events 索引。

  3. 重新启动 Splunk 进程。

4、为了完成安装,您需要输入您的 账户。您的 Splunk Base 账户可能与用于登录自托管 Splunk Enterprise 实例的凭据不同。

在您的 Splunk Enterprise 实例中安装 Bitwarden 事件日志应用程序后,您可以使用 Bitwarden 连接您的 Bitwarden 组织。

通过包含搜索查询来设置特定搜索。Spunk 利用其搜索处理语言 (SPL) 方式进行搜索。有关搜索的更多详细信息,请参阅 。

Splunk 计算的数据哈希。在详细了解 Splunk 的数据完整性。

表示发生的组织事件的事件类型代码。在查看完整的事件代码列表和说明。

Splunk Base
Splunk 文档
此处
此处
官方文档地址
事件
Splunk Base
Splunk 文档
API 密钥
Splunk 浏览所有应用程序
Splunk 索引
Bitwarden 事件日志应用程序
Splunk 应用仪表板
在 Splunk 上登录并安装 Bitwarden 应用程序
Splunk 仪表板上的 Bitwarden
设置 Bitwarden 菜单
组织 api 信息
Splunk 宏访问权限
Splunk 宏权限
创建 Splunk 搜索宏
Splunk 时间范围搜索
Splunk 搜索结果对象
Splunk 编辑用户权限