SailPoint 和 Splunk 时间戳差异的 SIEM 插件
SIEM plugin for SailPoint and Splunk timestamp discrepancy
我对事件如何到达 Splunk 等工具内部有疑问。
目前,插件的工作方式似乎是将记录发送到相关日志收集应用程序,将事件的时间戳记为纪元时间(位于事件的属性中)。
但是,在 Splunk 中,它似乎标记了它进入 Splunk 的事件时间。
所以,例如,我有一个两年前发生的事件,事件上的时间戳显示了这一点,SailPoint 也显示了这一点(如果你深入研究该事件,即使是 Splunk 也会显示)。
但是,当我导入 Splunk 时,假设今天(2021 年 3 月 15 日),Splunk 将显示 今天 的事件时间戳,而不是实际事件发生的时间。
因此,当我进行分析时,我实际上无法根据 Splunk 的时间戳查找事件发生的时间(因为 Splunk 显示的是导入日期,而不是事件发生的时间):它不会实际上是在向我展示两年前发生的事件。
Splunk 会将两年前发生的事件显示为今天发生的事件,因为那是 SailPoint 中的事件被导入 Splunk 的时间。
听起来事件日期被设置为索引日期
你的props.conf look like for setting the timestamp是什么?
根据您的评论,您应该在助教的 local/props.conf 中添加以下内容:
TIME_PREFIX=\"created\":
TIME_FORMAT=%sN
我对事件如何到达 Splunk 等工具内部有疑问。
目前,插件的工作方式似乎是将记录发送到相关日志收集应用程序,将事件的时间戳记为纪元时间(位于事件的属性中)。
但是,在 Splunk 中,它似乎标记了它进入 Splunk 的事件时间。
所以,例如,我有一个两年前发生的事件,事件上的时间戳显示了这一点,SailPoint 也显示了这一点(如果你深入研究该事件,即使是 Splunk 也会显示)。
但是,当我导入 Splunk 时,假设今天(2021 年 3 月 15 日),Splunk 将显示 今天 的事件时间戳,而不是实际事件发生的时间。
因此,当我进行分析时,我实际上无法根据 Splunk 的时间戳查找事件发生的时间(因为 Splunk 显示的是导入日期,而不是事件发生的时间):它不会实际上是在向我展示两年前发生的事件。
Splunk 会将两年前发生的事件显示为今天发生的事件,因为那是 SailPoint 中的事件被导入 Splunk 的时间。
听起来事件日期被设置为索引日期
你的props.conf look like for setting the timestamp是什么?
根据您的评论,您应该在助教的 local/props.conf 中添加以下内容:
TIME_PREFIX=\"created\":
TIME_FORMAT=%sN