Exemplos de alertas do Splunk de vários registros e de campo personalizado
Ao criar vários alertas do Splunk de registro com campos personalizados, você precisa definir critérios de pesquisa para gerar dados de alerta. São mostrados exemplos de critérios de pesquisa para incidentes e eventos de segurança.
Pesquisa de incidentes de segurança
Para um incidente de segurança, esses critérios criam uma pesquisa para preencher colunas na tabela de incidentes de segurança.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ipPesquisa de eventos de segurança
Para um evento de segurança, esta é a mesma pesquisa, mas preenche os campos de Evento. Se este evento for transformado em um incidente de segurança e todos os campos que não existirem no evento forem preenchidos, eles serão transferidos para o incidente de segurança. Caso contrário, eles permanecerão no campo de informações adicionais do evento e do alerta.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" |
eval node=host |
eval source=source
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip Nota:
Os critérios de pesquisa usados adicionarão o mesmo número de registros encontrados na pesquisa. Pode adicionar 5 ou 10.000.000.000 de registros. Portanto, este NÃO é um método recomendado para a transferência em massa de dados. A intenção deste método é adicionar um registro por chamada REST à instância da ServiceNow.