[Fast] Splunk Dashboard Studio. Transparent и Auto Refresh

Приветствую, уважаемый читатель!

С недавнего времени в Splunk появилась возможность создавать дашборды в специальном встроенном конструкторе - Splunk Dashboard Studio (SDS). Изменений достаточно много, и о некоторых важных я буду писать. Сегодня поговорим как сделать прозрачный фон и добавить автообновление данных.

[Fast] Splunk. Передача токенов между дашбордами (GUI)

 Приветствую, уважаемый читатель!

Как-то прошло мимо меня важное дополнение Splunk - теперь передачу значений токенов между дашбордами можно настроить в GUI. Об этом ниже.

Splunk. Time-picker options.

Приветствую, уважаемый читатель!

Иногда встроенных возможностей селекторов Splunk больше, чем хотелось бы видеть. Так вышло и с селектором «Time», с помощью которого задаётся время для отбора событий. О том, как из него выкинуть почти все встроенные опции как его можно слегка упростить сегодня поговорим J

Splunk. Dashboard + HTML.

Приветствую, уважаемый читатель!

Функциональность дашбордов в Splunk от версии к версии становятся всё шире. Достаточно давно в них появилась возможность встраивать блоки HTML текста, и, честно говоря, считал эту возможность бесполезной J Однако, как оказалось её можно использовать для динамического вывода вспомогательной информации к событиям.  

Splunk. Timechart. Визуализация аномалий.

Приветствую, уважаемый читатель!

Сегодня продолжим расширять познания о способах визуализации событий в Splunk и рассмотрим, как наглядно можно отразить на дашборде аномальную/повышенную активность.

Splunk. Post-Process Search. Инициализация токенов.

Приветствую, уважаемый читатель!

Сегодня хочу коснуться темы оптимизации подачи информации на дашборды и заодно рассказать про долгожданное нововведение в работе с токенами, а именно про инициализацию токенов. 

WikiLeaks. Несколько мыслей

Приветствую, уважаемый читатель!

Недавно на портале WikiLeaks выложили большое количество хакерских инструментов и методик ЦРУ, с помощью которых, предположительно, они взламывают всё и вся. Дополнительно был выложен список IP-адресов публичных DNS-резолверов, о нём и поговорим.

Splunk. Timechart. Parallel Coordinates

Приветствую, уважаемый читатель!

Хочу продолжить тему визуализации данных в Splunk и рассказать, как можно с использованием SPL-оператора Timechart создавать удобные  и незагруженные графики. Дополнительно рассмотрим визуализацию с использованием модной техники - Parallel Coordinates.

Splunk. Тренды в Single Value

Приветствую, уважаемый читатель!

Продолжая тему визуализации данных в Splunk, хотел бы поделиться опытом настройки новых возможностей визуального элемента «Single Value». Теперь его возможности позволяют создавать весьма полезные дашборды.

Splunk. Table color

Приветствую, уважаемый читатель!

Предлагаю продолжить разбираться в пряниках, которые разработчика Splunk внедрили в версии 6.5. Как я уже говорил, с каждой новой версией работать становится всё проще и удобнее. Для вывода информации на дашборды часто используется визуальный элемент «Table», со списком полей из sourcetype. Сегодня я покажу, как можно подсветить или выделить значения нужных нам полей.

Splunk. Использование Choropleth Maps.

Приветствую, уважаемый читатель!

Недавно вышел новый релиз Splunk – Splunk 6.5. С каждым релизом многие вещи в системе значительно упрощаются и становятся удобнее в использовании. Сегодня расскажу о новом виджете для дашбордов, а именно о Choropleth MAP, который является логическим продолжением виджетов для базы GeoIP.

Splunk. Dashboards. Добавляем динамики

Приветствую, уважаемый читатель!

Хотел бы продолжить тему разработки дашбордов в Splunk для визуализации событий. При определенных усилиях дашборды в Splunk можно превратить в очень мощный и динамичный инструмент для проведения аналитики. Сегодня мы исследуем возможности визуального элемента Statistic Table, а именно научимся совершать из таблицы переходы на внешние ресурсы и передавать токены из таблицы в произвольный элемент и т.д.

Splunk. Data Input's (Dynamic Options)

Приветствую, уважаемый читатель!

Сегодня я продолжу раскрывать тему создания дашбордов в Splunk, а если конкретнее, мы коснёмся раздела Dynamic Options, который присутствует у большинства селекторов (Data Inputs). Поняв принцип его работы, вы сможете очень сильно прокачать свои дашборды.

Splunk. Немного о Dashboard

Приветствую, уважаемый читатель!

Сегодня я расскажу о создании дашбордов в splunk, немного разберемся с токенами и запросами для визуальных элементов. Вообще, тема создания дашбордов и их настройки достаточно большая, и в одном посте всего не расскажешь, но основы заложим.

Начнем с простого, для чего могут быть необходимы дашборды в SIEM? Я выделяю две основные идеи, во-первых, конечно, для наглядной визуализации событий, в которых мы по каким-то критериям производим фильтрацию (объекты сетевой инфраструктуры, типы событий, сенсоры их породившие и т.д.), во-вторых дашборды в splunk хранят конкретные запросы к данным, и у нас нет необходимости постоянно помнить синтаксис кучи запросов.

Очень грубо можно назвать дашборд контейнером для запросов, которому мы средствами XML, CSS, JS, HTML придаём нужный вид. Начнем J