Bei der Überprüfung von Splunk-Protokollen können Sie mithilfe der Ereignisaktionen schnell Sicherheitsereignisse und Security Incidents aus jedem Element im Protokoll erstellen.

Durch Klicken auf eine dieser Aktionen wird ein manueller Suchbefehl erstellt, der mit den Daten im Protokolleintrag gefüllt wird, und wird ausgeführt, um den neuen Datensatz zu generieren.

Diese Aktionen können einfach konfiguriert werden, um Felder in Ihren normalisierten Daten hinzuzufügen. In Splunk verwenden Sie Einstellungen > Felder > Workflow-Aktionenkönnen Sie eine dieser Aktionen mithilfe der manuellen Suchfelder auswählen und bearbeiten.

Sie können auswählen, wo die Aktion für welche Felder angezeigt wird, und die Suchzeichenfolge ändern, die einen Suchbefehl enthält, um Ihren Datensatz zu erstellen.