splunk - 在 Splunk 云平台中搜索特定模式
问题描述
我是 splunk 的新手,正在尝试对受损的域控制器安全事件日志执行事件分析。我正在使用 splunk 云平台的免费试用版并摄取 csv 数据并让 splunk 自动创建索引。该攻击是一种蛮力攻击,似乎一些恶意用户试图在 AD 中查找远程桌面用户组的成员。
我附上了我当前 splunk 搜索结果的屏幕截图和我想使用的进一步过滤器 [以黑色突出显示]。正如您将在当前搜索结果中看到的那样,它列出了许多此类事件,但我只对某些事件感兴趣,在主题部分下,帐户名称的值不是给定的一组名称(比如 ID4$、Admin 、收割机等)。怎样才能做到这一点?
解决方案
首先,我强烈建议您参加 Splunk 提供的免费课程:https ://www.splunk.com/en_us/training.html?sort=Newest&filters=filterGroup1FreeCourses
其次,您需要在数据中查找 field=value 对
像这样:
index=ndx sourcetype=srctp fieldA=valA fieldB=valB* fieldC=valC
| stats values(host) as host values(valB) by fieldA fieldC
推荐阅读
- c++ - 'Head' 和 'Tail' 未在此范围内声明
- python - 在特定点向绘图添加标记
- javascript - Api : Express : throw new TypeError('Router.use() requires a middleware function but got a ' + gettype(fn))
- oauth-2.0 - 是否可以验证从 WSO2 中的外部 OAuth2 服务器创建的 JWT 令牌?
- reactjs - React Native - 移动到 ViewPagerAndroid 中的另一个视图时如何立即显示 FlatList?
- react-native - 世博会问题启动应用程序(显示三个屏幕按钮) - React Native
- ubuntu - 无法链接到 libglew 或 libglfw
- vue.js - 在 vue 项目中设置全局 sass 变量
- jekyll - 使用包含标签访问 Jekyll 的 _data 文件夹中的 csv
- groovy - 如何解决 Groovy 错误“无法解析类 spock.lang.Specification”?