Exemplos de alerta do Splunk de vários registros e de campo personalizado
Ao criar vários alertas do Splunk de registro com campos personalizados, você precisa definir os critérios de pesquisa para gerar dados de alerta. São mostrados exemplos de critérios de pesquisa para incidentes e eventos de segurança.
Pesquisa de incidente de segurança
Para um incidente de segurança, este critério cria uma pesquisa para preencher as colunas na tabela de incidentes de segurança.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ipPesquisa de evento de segurança
Para um evento de segurança, esta é a mesma pesquisa, mas preenche os campos de Evento. Se este evento for transformado em um incidente de segurança e todos os campos que não existem no evento forem preenchidos, eles serão transferidos para o incidente de segurança. Caso contrário, eles permanecerão no campo de informações adicionais do evento e do alerta.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" |
eval node=host |
eval source=source
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip Nota:
Os critérios de pesquisa usados adicionarão todos os registros encontrados na pesquisa. Pode adicionar 5 ou 10.000.000.000 de registros. Portanto, este NÃO é um método recomendado para a transferência de dados em massa. A intenção deste método é adicionar um registro por chamada REST à instância da ServiceNow.