Splunk-Ereignisaktionen
Bei der Überprüfung von Splunk-Protokollen können Sie mithilfe der Ereignisaktionen schnell Sicherheits-Ereignisse und Security Incidents aus jedem Element im Protokoll erstellen.
Wenn Sie auf eine dieser Aktionen klicken, wird ein manueller Suchbefehl erstellt, der mit den Daten im Protokolleintrag gefüllt ist, und führen Sie ihn aus, um den neuen Datensatz zu generieren.
Diese Aktionen können einfach konfiguriert werden, um Ihren normalisierten Daten Felder hinzuzufügen. In Splunk mit , Sie können eine dieser Aktionen mithilfe der manuellen Suchfelder auswählen und bearbeiten.
Sie können auswählen, wo und für welche Felder die Aktion angezeigt wird, und die Suchzeichenfolge ändern, die einen Suchbefehl enthält, um Ihren Datensatz zu erstellen.