Lors de l’examen des logs Splunk, vous pouvez créer rapidement des événements de sécurité et des incidents de sécurité à partir de n’importe quel élément du journal à l’aide des actions d’événement.

Cliquez sur l’une de ces actions pour créer une commande de recherche manuelle renseignée avec les données de l’entrée de journal et exécutez-la pour générer le nouvel enregistrement.

Ces actions sont facilement configurables pour ajouter des champs dans vos données normalisées. Dans Splunk, à l’aide de Paramètres > Champs > Actions du workflow, vous pouvez sélectionner et modifier l’une ou l’autre de ces actions à l’aide des champs de recherche manuels.

Vous pouvez choisir où l’action s’affiche, pour quels champs et modifier la chaîne de recherche qui contient une commande de recherche pour créer votre enregistrement.