Champs personnalisés et multi-enregistrements Exemples d’alertes Splunk

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

1 minute de lecture

Lorsque vous créez plusieurs alertes Splunk d’enregistrement avec des champs personnalisés, vous devez définir des critères de recherche pour générer des données d’alerte. Des exemples de critères de recherche pour les incidents et les événements de sécurité sont présentés.

Recherche d’incidents de sécurité

Pour un incident de sécurité, ce critère génère une recherche pour remplir les colonnes de la table d’incident de sécurité.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip

Recherche d’événements de sécurité

Pour un événement de sécurité, il s’agit de la même recherche, mais elle remplit les champs Événement à la place. Si cet événement est transformé en incident de sécurité et que tous les champs qui n’existent pas dans l’événement sont renseignés, ils sont transférés à l’incident de sécurité. Sinon, ils restent dans le champ d’informations supplémentaires de l’événement et de l’alerte.

host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" | 
eval node=host | 
eval source=source
eval subcategory="Sensitive Data Monitoring" | 
eval description=_raw | 
eval source_ip=found_ip

Remarque :

Les critères de recherche que vous utilisez ajouteront autant d’enregistrements que vous en trouverez dans la recherche. Il peut ajouter 5 ou 10 000 000 000 d’enregistrements. Ce n’est donc PAS une méthode recommandée pour le transfert en masse de données. L’objectif de cette méthode est d’ajouter un enregistrement par appel REST dans l’instance ServiceNow.