Wenn Sie Splunk-Protokolle überprüfen, können Sie mit den Event-Aktionen schnell Sicherheits-Events und Security Incidents aus jedem Element im Protokoll erstellen.

Wenn Sie auf eine dieser Aktionen klicken, wird ein manueller Suchbefehl erstellt, der mit den Daten im Protokolleintrag gefüllt wird, und ausgeführt, um den neuen Datensatz zu generieren.

Diese Aktionen lassen sich einfach konfigurieren, um Felder in Ihren normalisierten Daten hinzuzufügen. Innerhalb von Splunk mit Einstellungen > Felder > Workflow-Aktionen, können Sie eine dieser Aktionen mithilfe der manuellen Suchfelder auswählen und bearbeiten.

Sie können auswählen, wo die Aktion für welche Felder angezeigt wird, und die Suchzeichenfolge ändern, die einen Suchbefehl enthält, um Ihren Datensatz zu erstellen.