Tag: SPLUNK-API
Estoy tratando de usar esta expresión regular para extraer IPs o URLs maliciosas de intentos de explotación de Log4J usando el SIEM (Gestión de Eventos de Incidentes de Seguridad) “Splunk”. El problema es que estoy alcanzando los límites de la expresión regular en Splunk. He intentado mejorarlo en regex101. Esta . . . Read more
Tengo una búsqueda que contiene muchos subbúsquedas y están en el mismo formato como: | union [| search index=idx_dash | spath Data.AA{} AA | mvexpand AA | eval _raw=AA | spath Key output=Key | spath Value output=Value | where Key=”**aaa**” | rex mode=sed field=Value “s/\+/e+/g” | eval Value=tonumber(Value) | xyseries . . . Read more
¿Cuál sería la sintaxis correcta de la llamada de solicitud HTTP GET para obtener datos de búsqueda guardados de Splunk si estamos accediendo a través de un token de acceso? Mi comando curl funciona pero http.get no. Comando curl: ‘#os.system(‘curl -H “Authorization: Bearer ” :8089/services/search/jobs/export –data search=”savedsearch abc_backup_status” -d output_mode=csv’) . . . Read more
Estoy tratando de combinar una consulta de búsqueda de Splunk con un conjunto de resultados de consulta de base de datos. Básicamente tengo una consulta dbxquery de Splunk 1 que devuelve el “userid” y el “email” de la base de datos de la siguiente manera para un id de usuario . . . Read more
Mi dispositivo Fortigate envía syslogs a mi servidor Splunk y aproximadamente consume 40G al día. ¿En tu opinión, parece razonable? ¡Necesito mantener mis datos en Splunk durante 90 días, pero no tengo suficiente espacio de almacenamiento!