Ao revisar os logs do Splunk, você pode criar rapidamente eventos e incidentes de segurança a partir de qualquer item no log usando as Ações de evento.

Clicar em uma dessas ações cria um comando de pesquisa manual preenchido com os dados na entrada de log e o executa para gerar o novo registro.

Essas ações são facilmente configuradas para adicionar campos em seus dados normalizados. No Splunk, usando Configurações > Campos > Ações de Fluxo de Trabalho, você pode selecionar e editar qualquer uma dessas ações usando os campos de pesquisa manual.

Você pode escolher onde a ação é mostrada, para quais campos e modificar a cadeia de caracteres de pesquisa que contém um comando de pesquisa para criar seu registro.