相关搜索中与splunk内置宏有关的问题
Questions related to splunk builtin macros in correlation search
我不确定这是否是提出这个问题的合适论坛,但我确实需要帮助而且我被困住了。所以这里开始:我正在探索 splunk 企业安全,并专门研究分析故事和相关搜索。
例如 :
分析故事:Trickbot
关联搜索:尝试停止安全服务
| tstats `security_content_summariesonly` values(Processes.process) as process min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes where (Processes.process_name = net.exe OR Processes.process_name = sc.exe) Processes.process="* stop *" by Processes.dest Processes.user Processes.parent_process Processes.process_name Processes.process Processes.process_id Processes.parent_process_id
| `drop_dm_object_name(Processes)`
| `security_content_ctime(firstTime)`
| `security_content_ctime(lastTime)`
|lookup security_services_lookup service as process OUTPUTNEW category, description
| search category=security
| `attempt_to_stop_security_service_filter`
我试图理解这段代码到底在做什么,但是像 security_content_summariesonly, drop_dm_object_name, security_content_ctime, attempt_to_stop_security_service_filter 一样卡在了这些宏上。我无法在任何地方找到这些宏的定义。我试图查看 -> 设置 -> 高级搜索 -> 宏,但这些未在此处列出。
有人可以帮忙吗?
如果您有权访问主机 Splunk 的 运行,您可以在 $SPLUNK_HOME$/etc/*/macros.conf
中找到 definitions
如果您没有该访问权限,那么您可能没有权限查看这些宏的定义
但是,您始终可以使用 Job Inspector 查看 Splunk 如何将您键入的内容转换为它运行的内容
如果您在搜索中有查询 window 然后单击查询并键入 Shift-CTRL-E 让 Splunk 为您展开所有宏。
我可以告诉你 drop_dm_object_name 宏就是 rename .* as *。其他宏特定于他们的应用程序。
我不确定这是否是提出这个问题的合适论坛,但我确实需要帮助而且我被困住了。所以这里开始:我正在探索 splunk 企业安全,并专门研究分析故事和相关搜索。
例如 :
分析故事:Trickbot
关联搜索:尝试停止安全服务
| tstats `security_content_summariesonly` values(Processes.process) as process min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes where (Processes.process_name = net.exe OR Processes.process_name = sc.exe) Processes.process="* stop *" by Processes.dest Processes.user Processes.parent_process Processes.process_name Processes.process Processes.process_id Processes.parent_process_id
| `drop_dm_object_name(Processes)`
| `security_content_ctime(firstTime)`
| `security_content_ctime(lastTime)`
|lookup security_services_lookup service as process OUTPUTNEW category, description
| search category=security
| `attempt_to_stop_security_service_filter`
我试图理解这段代码到底在做什么,但是像 security_content_summariesonly, drop_dm_object_name, security_content_ctime, attempt_to_stop_security_service_filter 一样卡在了这些宏上。我无法在任何地方找到这些宏的定义。我试图查看 -> 设置 -> 高级搜索 -> 宏,但这些未在此处列出。
有人可以帮忙吗?
如果您有权访问主机 Splunk 的 运行,您可以在 $SPLUNK_HOME$/etc/*/macros.conf
如果您没有该访问权限,那么您可能没有权限查看这些宏的定义
但是,您始终可以使用 Job Inspector 查看 Splunk 如何将您键入的内容转换为它运行的内容
如果您在搜索中有查询 window 然后单击查询并键入 Shift-CTRL-E 让 Splunk 为您展开所有宏。
我可以告诉你 drop_dm_object_name 宏就是 rename .* as *。其他宏特定于他们的应用程序。