Splunk 登录失败报告
Splunk Failed Login Report
我对 Splunk 比较陌生,我正在尝试创建一个报告,该报告将显示主机名和主机在过去五分钟内登录失败 3 次或更多次的次数。我能够获得我想要的初始搜索结果的唯一方法是只查看过去 5 分钟内的内容,正如您在我的查询中看到的那样:
index="wineventlog" EventCode=4625 earliest=-5min | stats count by host,_time | stats count by host | search count > 2
本returns主持人和伯爵。问题是,如果我在我的报告中使用此查询,它可以每五分钟 运行,但之前列出的主机将被删除,因为它们不再包含在搜索结果中。
我找到了生成日志的方法,然后我可以单独搜索这些日志 (http://docs.splunk.com/Documentation/Splunk/6.6.2/Alert/LogEvents),但它没有按我预期的方式工作。
我正在寻找可以帮助我获得预期结果的任何问题的答案:
- 我的原始搜索是否可以改进为仍然只获得登录失败在 5 分钟内的结果,但能够搜索任何时间段的结果?
- 有没有办法将我已有的查询的结果发送到报告中,当再次搜索 运行 时,结果不会被清除?
- 是否还有其他我没有考虑过的选项来达到预期的结果?
如果您只关心最后 5 分钟,则只搜索最后 5 分钟。搜索更多只是浪费资源。
考虑将您的结果写入带有计划搜索的摘要索引(使用 collect
),并让您的 report/dashboard 显示摘要索引中的值。
我对 Splunk 比较陌生,我正在尝试创建一个报告,该报告将显示主机名和主机在过去五分钟内登录失败 3 次或更多次的次数。我能够获得我想要的初始搜索结果的唯一方法是只查看过去 5 分钟内的内容,正如您在我的查询中看到的那样:
index="wineventlog" EventCode=4625 earliest=-5min | stats count by host,_time | stats count by host | search count > 2
本returns主持人和伯爵。问题是,如果我在我的报告中使用此查询,它可以每五分钟 运行,但之前列出的主机将被删除,因为它们不再包含在搜索结果中。
我找到了生成日志的方法,然后我可以单独搜索这些日志 (http://docs.splunk.com/Documentation/Splunk/6.6.2/Alert/LogEvents),但它没有按我预期的方式工作。
我正在寻找可以帮助我获得预期结果的任何问题的答案:
- 我的原始搜索是否可以改进为仍然只获得登录失败在 5 分钟内的结果,但能够搜索任何时间段的结果?
- 有没有办法将我已有的查询的结果发送到报告中,当再次搜索 运行 时,结果不会被清除?
- 是否还有其他我没有考虑过的选项来达到预期的结果?
如果您只关心最后 5 分钟,则只搜索最后 5 分钟。搜索更多只是浪费资源。
考虑将您的结果写入带有计划搜索的摘要索引(使用 collect
),并让您的 report/dashboard 显示摘要索引中的值。