使用 splunk 查找 SonicWall 管理员登录名
Find SonicWall Admin login's using splunk
我想使用 splunk 报告何时使用 Admnin 凭据登录 Sonicwall。请帮助
从 https://software.sonicwall.com/Manual/232-001835-00_Rev_A_SonicOS_Log_Event_Reference_Guide.pdf 开始,管理员登录的日志消息似乎是
"Administrator login allowed"
因此在 Splunk 中,您只需搜索以下内容即可获取所有事件
index=sonicwall "Administrator login allowed"
您可能还需要管理员登录失败,即 "Administrator login denied due to bad credentials"
如果你想把它放在报告中,像下面这样的东西就足够了
index=sonicwall "Administrator login allowed" OR "Administrator login denied due to bad credentials" | eval type=if(match(_raw,"allowed"),"success","failure") | timechart count by type
我想使用 splunk 报告何时使用 Admnin 凭据登录 Sonicwall。请帮助
从 https://software.sonicwall.com/Manual/232-001835-00_Rev_A_SonicOS_Log_Event_Reference_Guide.pdf 开始,管理员登录的日志消息似乎是 "Administrator login allowed"
因此在 Splunk 中,您只需搜索以下内容即可获取所有事件
index=sonicwall "Administrator login allowed"
您可能还需要管理员登录失败,即 "Administrator login denied due to bad credentials"
如果你想把它放在报告中,像下面这样的东西就足够了
index=sonicwall "Administrator login allowed" OR "Administrator login denied due to bad credentials" | eval type=if(match(_raw,"allowed"),"success","failure") | timechart count by type