Lors de l’examen des journaux Splunk, vous pouvez créer rapidement des événements et des incidents de sécurité à partir de n’importe quel élément du journal à l’aide des actions d’événement.

En cliquant sur l’une de ces actions, une commande de recherche manuelle est créée avec les données de l’entrée de journal et l’exécute pour générer le nouvel enregistrement.

Ces actions sont facilement configurées pour ajouter des champs dans vos données normalisées. Dans Splunk, à l’aide de Paramètres > Champs > Workflow Actions, vous pouvez sélectionner et modifier l’une ou l’autre de ces actions à l’aide des champs de recherche manuelle.

Vous pouvez choisir où l’action est affichée, pour quels champs et modifier la chaîne de recherche qui contient une commande de recherche pour créer votre enregistrement.