Mam wrażenie, że funkcjonalności Splunka można wymieniać w nieskończoność. Kolejną przydatną funkcjonalnością którą dostarcza Splunk są tabele "Lookup". Dzięki nim możemy uzyskać dodatkowe pola w już istniejących zdarzeniach. Jest to krótko mówiąc słownik, który musimy dostarczyć w formacie csv, (ewentualnie spakowanym). Dla przykładu spróbujemy stworzyć słownik użytkownik, imię, nazwisko
Zapisujemy jako user.csv
Następnie wybieramy w menu:
Powinno pojawić nam się następujące okno
Chcemy stworzyć nową tabelę, tak jak to zostało zaznaczone - dla aplikacji search
W następnym kroku musimy/powinniśmy zdefiniować pola lookup - druga pozycja z drugiego screena...
Teraz splunk zna "Definicje" jako oparty o plik lookup.
Teraz powinniśmy przejść do "Automatic lookups"
I co nam to wszystko dało? Dostaliśmy zupełnie nowe pola po których możemy wyszukiwać. Jeśli nie znamy kogoś nazwy użytkownika, a mamy możliwość wygenerowania pliku csv zawierającego loginy i nazwiska (często jest to zadaniem trywialnym) to wyszukiwanie może okazać się bardziej instynktowne np:
i oto otrzymaliśmy to co chcieliśmy:
Innymi zastosowaniami może być np tabela produktów zasugerowania w tutorialu producenta, moim pomysłem byłoby zestawienie numeru telefonu z hostem - pamiętajmy o poprzednim artykule który pozwalał nam "raportować" dowolne pola
https://monitoringserwerow.pl/showthread.php?tid=23
Prawda że tak niepozorna wyszukiwarka potrafi nie raz zaskoczyć?
KOD: ZAZNACZ CAŁY
Code:
user,name,surname
psciegienny,Pawel,SciegiennyZapisujemy jako user.csv
Następnie wybieramy w menu:
Powinno pojawić nam się następujące okno
W następnym kroku musimy/powinniśmy zdefiniować pola lookup - druga pozycja z drugiego screena...
Teraz splunk zna "Definicje" jako oparty o plik lookup.
Teraz powinniśmy przejść do "Automatic lookups"
I co nam to wszystko dało? Dostaliśmy zupełnie nowe pola po których możemy wyszukiwać. Jeśli nie znamy kogoś nazwy użytkownika, a mamy możliwość wygenerowania pliku csv zawierającego loginy i nazwiska (często jest to zadaniem trywialnym) to wyszukiwanie może okazać się bardziej instynktowne np:
KOD: ZAZNACZ CAŁY
Code:
auth* fail* name=Pawel surname=Sciegiennyi oto otrzymaliśmy to co chcieliśmy:
Innymi zastosowaniami może być np tabela produktów zasugerowania w tutorialu producenta, moim pomysłem byłoby zestawienie numeru telefonu z hostem - pamiętajmy o poprzednim artykule który pozwalał nam "raportować" dowolne pola
https://monitoringserwerow.pl/showthread.php?tid=23
Prawda że tak niepozorna wyszukiwarka potrafi nie raz zaskoczyć?
