如何使用Splunk CIM数据模型

发布于 2025-01-18 12:51:20 字数 237 浏览 0 评论 0原文

我正在尝试了解如何在Splunk中编写评估语句，并且文档并没有帮助。具体来说，我正在查看恶意软件CIM数据模型，有一个名为“ Malware_attacks”的字段，其规定的值：关键，高，中和低。如何使用此CIM字段和规定的值创建一个评估语句，并将其应用于我在捕获组中分别创建的正则评分？

谢谢杰克

一世尝试了Splunk CIM数据模型文档，它没有详细介绍规定的值以及如何应用有关如何将其整合到编写eval语句中的CIM数据字段

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

夜灵血窟げ 2025-01-25 12:51:20

严重性字段已经存在于Datamodel（DM）中，因此您要做的就是参考它。通过指定DM名称和由DOT隔开的字段来执行此操作。例如，|表“ malware_attacks.severity”。引号用于防止splunk将其视为两个串联字段（因为。也是求和操作员）。您可以使用重命名删除DM名称，从而使生活更加轻松，以便可以直接引用字段。

| rename "Malware_Attacks.*" as *
| table severity

The severity field already exists in the datamodel (DM) so all you have to do is reference it. Do that by specifying the DM name and the field separated by a dot. For example, | table "Malware_Attacks.severity". Quotes are used to keep Splunk from treating this as two concatenated fields (since . is also the concatention operator). You can make life a little easier by using rename to remove the DM name so fields can be referenced directly.

| rename "Malware_Attacks.*" as *
| table severity

回复收藏 0 原文

~没有更多了~

关于作者

牵强ㄟ

暂无简介

文章

25 人气

关注发私信

友情链接

文江博客

如何使用Splunk CIM数据模型

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

饮湿

明月

02

hs1283

风向决定发型

落花浅忆

友情链接

如何使用Splunk CIM数据模型

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

饮湿

明月

02

hs1283

风向决定发型

落花浅忆

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。