Lors de l’examen des journaux Splunk, vous pouvez rapidement créer des événements de sécurité et des incidents de sécurité à partir de n’importe quel élément du journal à l’aide des actions d’événement.

Cliquez sur l’une de ces actions pour créer une commande de recherche manuelle remplie avec les données de l’entrée de journal et exécutez-la pour générer le nouvel enregistrement.

Ces actions sont facilement configurées pour ajouter des champs dans vos données normalisées. Dans Splunk, à l’aide de Paramètres > Champs > Actions du workflow, vous pouvez sélectionner et modifier l’une ou l’autre de ces actions à l’aide des champs de recherche manuelle.

Vous pouvez choisir l’emplacement où l’action est affichée, pour quels champs, et modifier la chaîne de recherche qui contient une commande de recherche pour créer votre enregistrement.