Erstellen Sie Konfigurationsdatensätze für Sichtungssuche
Erstellen Sie mehrere Sichtungssuchkonfigurationsdatensätze, und verwenden Sie sie, wenn Sie mehrere Protokollspeicher abfragen oder die Suchparameter ändern.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
- Das CIM-Add-on muss auf der Splunk-Instanz installiert werden.
- Gespeicherte Suchen und eingebrachte Abfragen werden nur für die Splunk-Integration unterstützt.
Warum und wann dieser Vorgang ausgeführt wird
- Erstellen Sie anwenderdefinierte Suchen, die mehrere Ereignisdatensätze kombinieren.
- Designeffiziente und effektive Suchen.
- Verwenden Sie parametrisierte Eingaben in der gespeicherten Splunk-Suche.
Das Basissystem enthält die Beispielkonfigurationen, wie in diesem Bild gezeigt:
So überprüfen Sie, ob die gespeicherte Suchkonfiguration mit der in Ihrer Splunk-Instanz definierten Konfiguration übereinstimmt:
- Navigieren zu an.
- Ändern App-Kontext Bis Alle .
Eine Liste von Suchberichten wird angezeigt.
- Bestätigen Sie, dass die gespeicherte Suchabfrage in der Liste vorhanden ist.
Definieren Sie in Ihrer Splunk-Instanz die gespeicherte Suche mit dem gleichen Namen, der gespeicherten Standardsuche – E-Mails und den gleichen Suchparametern für die E-Mail-Adresse und den E-Mail-Betreff. Wenn der Name und die Suchparameter nicht identisch sind, generiert die Sichtungssuche kein genaues Ergebnis.
Prozedur
Ergebnisse
Nächste Maßnahme
Klicken Sie nach dem Definieren der Suchabfrage auf Testabfrage Für Sichtungssuche Generieren , Und geben Sie eine Liste erkennbarer Werte an, um eine Testabfrage basierend auf dieser gespeicherten Suchkonfiguration zu generieren.