Ao revisar os logs do Splunk, você pode criar rapidamente eventos de segurança e incidentes de segurança a partir de qualquer item no log usando as ações de evento.

Clicar em uma dessas ações cria um comando de pesquisa manual preenchido com os dados na entrada de log e executa-o para gerar o novo registro.

Essas ações são facilmente configuradas para adicionar campos em seus dados normalizados. No Splunk, usando Configurações > Campos > Ações de Fluxo de Trabalho, você pode selecionar e editar qualquer uma dessas ações usando os campos de pesquisa manual.

Você pode escolher onde a ação será mostrada, para quais campos e modificar a cadeia de caracteres de pesquisa que contém um comando de pesquisa para criar seu registro.