Erstellen Sie Konfigurationsdatensätze für Sichtungssuche

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Erstellen Sie mehrere Sichtungssuchkonfigurationsdatensätze, und verwenden Sie sie, wenn Sie mehrere Protokollspeicher abfragen oder die Suchparameter ändern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    • Das CIM-Add-on muss auf der Splunk-Instanz installiert werden.
    • Gespeicherte Suchen und eingebrachte Abfragen werden nur für die Splunk-Integration unterstützt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auch Konfigurationsdatensätze für Sichtungssuche erstellen, die aufgerufen werden sollen Gespeicherte Suchen Im Splunk Enterprise-Protokollspeicher.
    Hinweis:
    Die Suchkonfigurationsabfragen basieren auf Splunk-Protokolldaten, um Splunk Common Information Model (CIM)-konform zu sein.
    Mit gespeicherten Suchkonfigurationen können Sie:
    • Erstellen Sie anwenderdefinierte Suchen, die mehrere Ereignisdatensätze kombinieren.
    • Designeffiziente und effektive Suchen.
    • Verwenden Sie parametrisierte Eingaben in der gespeicherten Splunk-Suche.

    Das Basissystem enthält die Beispielkonfigurationen, wie in diesem Bild gezeigt:

    Abbildung : 1. Gespeicherte Suchkonfigurationen
    Suchkonfiguration
    Die gespeicherten Such- und Einfügekonfigurationsabfragen sind Beispielabfragen und können durch entsprechende Parameter für Ihre Umgebung ersetzt werden. Erstellen Sie nach Bedarf zusätzliche gespeicherte Suchkonfigurationen. Wenn Sie eine gespeicherte Suchkonfiguration definieren, müssen der Name und die Parameter in der Suchabfrage mit der gespeicherten Konfiguration übereinstimmen, die in Ihrer Splunk-Instanz definiert ist. Wenn der Name und die Parameter nicht identisch sind, werden bei einer Sichtungssuche möglicherweise keine genauen Ergebnisse angezeigt.
    Hinweis:
    Navigieren Sie auf Ihrer Splunk-Instanz zur Seite „Suchen, Berichte und Warnungen“, und suchen Sie Ihre gespeicherte Suchabfrage. Klicken Sie auf Berechtigungen Link zum Navigieren zur Seite „Berechtigungen“. Wählen Sie aus Alle Apps Optionsschaltfläche und aktivieren Leseberechtigung Option für Jeder . Dadurch wird der Wert der Spalte „Freigeben“ für Ihre gespeicherte Suchabfrage von „Privat“ in „App“ geändert. Wenn dies nicht festgelegt ist, gibt die gespeicherte Suchabfrage möglicherweise keine Ergebnisse zurück.

    So überprüfen Sie, ob die gespeicherte Suchkonfiguration mit der in Ihrer Splunk-Instanz definierten Konfiguration übereinstimmt:

    1. Navigieren zu Einstellungen > Suchen, Berichte und Warnungenan.
    2. Ändern App-Kontext Bis Alle .

      Eine Liste von Suchberichten wird angezeigt.

    3. Bestätigen Sie, dass die gespeicherte Suchabfrage in der Liste vorhanden ist.
    Beispielsweise enthält das Formular „Konfiguration der Sichtungssuche“ die E-Mail-Adresse und den E-Mail-Absender als Suchparameter:
    Abbildung : 2. Konfigurationsformular für Sichtungssuche
    Gespeicherte Konfiguration

    Definieren Sie in Ihrer Splunk-Instanz die gespeicherte Suche mit dem gleichen Namen, der gespeicherten Standardsuche – E-Mails und den gleichen Suchparametern für die E-Mail-Adresse und den E-Mail-Betreff. Wenn der Name und die Suchparameter nicht identisch sind, generiert die Sichtungssuche kein genaues Ergebnis.

    Prozedur

    1. Navigieren zu Security Operations > Integrationen > Sichtungssuche – Konfiguration Und erstellen Sie einen neuen Datensatz (Feldbeschreibungen finden Sie in der Tabelle).
      Tabelle : 1. Konfigurationsformular für Sichtungssuche
      Feld Beschreibung
      Name Name der Konfiguration
      Ist gespeicherte Suche Die gespeicherte Suchkonfiguration wird erstellt, wenn Sie diese Option auswählen.
      Sichtungssuchquelle Die Quelle für die Sichtungssuche. Wählen Sie den Splunk-Protokollspeicher als Quelle aus.
      Aktiv Option für den gespeicherten Suchstatus. Nur aktive Suchkonfigurationen können verwendet werden, um eine Sichtungssuche durchzuführen.
      Erkennbarer Typ Der Typ des erkennbaren Elements kann ein beliebiger Typ des erkennbaren Elements sein, z. B. IP, Hash-Wert, URL, Domänenname usw.
      Maximale erkennbare Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die von der Suche zurückgegeben werden sollen.
      Suchen Die Standardsuchzeichenfolge ist $(erkennbares Element) , Aber Sie können Ihre eigene Suchabfrage definieren, indem Sie Parameter angeben, die vom Splunk-Protokollspeicher unterstützt werden.
    2. Klicken Sie auf Absenden.

    Ergebnisse

    Sie haben einen Konfigurationsdatensatz für die Sichtungssuche erstellt.

    Nächste Maßnahme

    Klicken Sie nach dem Definieren der Suchabfrage auf Testabfrage Für Sichtungssuche Generieren , Und geben Sie eine Liste erkennbarer Werte an, um eine Testabfrage basierend auf dieser gespeicherten Suchkonfiguration zu generieren.