Splunk SPL. Используем stats | eventstats | streamstats | timechart | bucket

Приветствую, уважаемый читатель!

От умения правильно использовать операторы SPL (Search Processing Language) в Splunk зависит очень многое, это и создание сложных выборок событий, скорость работы самих запросов, полезность дашбордов, нормализация событий и т.д. Ниже будет приведен некоторый опыт работы с популярными операторами SPL (stats, eventstats, streamstats, timechart, bucket).

Splunk. Получаем сканы Nessus

Приветствую, уважаемый читатель!

Сегодня хочу продолжить повествование о сканере уязвимостей Nessus и рассказать, как его можно подружить со Splunk. С точки зрения SIEM, Nessus представляет очень ценный источник событий безопасности, т.к. с его помощью можно более уверенно говорить об успешности или не успешности атаки.

Splunk. Использование Choropleth Maps.

Приветствую, уважаемый читатель!

Недавно вышел новый релиз Splunk – Splunk 6.5. С каждым релизом многие вещи в системе значительно упрощаются и становятся удобнее в использовании. Сегодня расскажу о новом виджете для дашбордов, а именно о Choropleth MAP, который является логическим продолжением виджетов для базы GeoIP.