Exemplos de alerta Splunk de campo personalizado de vários registros
Ao criar alertas Splunk de vários registros com campos personalizados, você precisa definir critérios de pesquisa para gerar dados de alerta. Exemplos de critérios de pesquisa para incidentes de segurança e eventos de segurança são mostrados.
Pesquisa de incidentes de segurança
Para um incidente de segurança, este critério cria uma pesquisa para preencher colunas na tabela de incidentes de segurança.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ipPesquisa de evento de segurança
Para um evento de segurança, esta é a mesma pesquisa, mas preenche os campos de evento. Se este evento for transformado em um incidente de segurança e todos os campos que não existirem no evento forem preenchidos, eles serão transferidos para o incidente de segurança. Caso contrário, eles permanecerão no campo de informações adicionais do evento e do alerta.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" |
eval node=host |
eval source=source
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip Nota:
Os critérios de pesquisa usados adicionarão quantos registros forem encontrados na pesquisa. Pode adicionar 5 ou 10,000,000,000 registros. Este NÃO é um método recomendado para a transferência em massa de dados. A intenção desse método é adicionar um registro por chamada REST à instância da ServiceNow.