Splunk-Ereignisaktionen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer
  • Bei der Überprüfung von Splunk-Protokollen können Sie mithilfe der Ereignisaktionen schnell Sicherheits-Ereignisse und Security Incidents aus jedem Element im Protokoll erstellen.

    Wenn Sie auf eine dieser Aktionen klicken, wird ein manueller Suchbefehl erstellt, der mit den Daten im Protokolleintrag gefüllt ist, und führen Sie ihn aus, um den neuen Datensatz zu generieren.

    Diese Aktionen können einfach konfiguriert werden, um Ihren normalisierten Daten Felder hinzuzufügen. In Splunk mit Einstellungen > Felder > Workflow-Aktionen, Sie können eine dieser Aktionen mithilfe der manuellen Suchfelder auswählen und bearbeiten.

    Sie können auswählen, wo und für welche Felder die Aktion angezeigt wird, und die Suchzeichenfolge ändern, die einen Suchbefehl enthält, um Ihren Datensatz zu erstellen.