Splunk. Dashboard + HTML.

Приветствую, уважаемый читатель!

Функциональность дашбордов в Splunk от версии к версии становятся всё шире. Достаточно давно в них появилась возможность встраивать блоки HTML текста, и, честно говоря, считал эту возможность бесполезной J Однако, как оказалось её можно использовать для динамического вывода вспомогательной информации к событиям.  

Splunk. SavedSearch. Пару слов о времени.

Приветствую, уважаемый читатель!

От корректного отображения/использования/преобразования времени в SIEM-системах зависит очень много, в т.ч. количество событий, возвращаемых аналитику. В Splunk можно по-разному определять временной интервал поиска событий: хочешь фильтром на дашборде, хочешь переменной (токеном) в теле запроса и т.д. Но вот с savedsearch-запросами, всё оказалось не очевидно.