Splunk ログを確認するときに、イベントアクションを使用して、ログ内の任意のアイテムからセキュリティイベントとセキュリティインシデントを迅速に作成できます。

これらのアクションのいずれかをクリックすると、ログエントリーのデータが取り込まれた手動検索コマンドが作成され、新しいレコードが生成するために実行されます。

これらのアクションは、正規化されたデータにフィールドを追加するように簡単に構成できます。Splunk 内で、 設定 > フィールド > ワークフローアクションでは、手動検索フィールドを使用してこれらのアクションのいずれかを選択して編集できます。

アクションが表示される場所とフィールドを選択し、検索コマンドを含む検索文字列を変更してレコードを作成できます。