Splunk. Использование REST API

Приветствую, уважаемый читатель!

До сих пор мы рассматривали Splunk исключительно как средство сбора и анализа событий. Иногда возможны ситуации, когда нам необходимо получить события, которые уже собрал и проиндексировал Splunk, т.е. сам Splunk выступит источником событий. Сегодня я расскажу, как использовать Splunk в этом качестве :)

Splunk. Urldecode в props.conf

Привет, читатель!

В этом небольшом посте, хочу рассказать о полезной возможности Splunk, а именно об автоматическом выполнении преобразований значений полей с помощью eval. Это позволит немного упростить запросы, а логику преобразований вынести в конфигурационный файл props.conf.

Splunk. Fields extraction

Приветствую, уважаемый читатель!

Рассматривая возможности Splunk, мы совсем не коснулись темы парсинга событий, а конкретно - получения нужных нам полей из события. Данный механизм, на мой взгляд, реализован в Splunk очень круто и позволяет не только извлекать поля из событий, но и группировать их по приложениям. Об этом и поговорим J

Powershell. Контролируем сетевую активность.

Приветствую, уважаемый читатель!

Хотел бы сегодня поделится опытом решения следующей задачи: запрет соединения с ресурсами сети Интернет, при установлении соединения с конкретным IP-адресом. Не скажу, что данная задача является типовой и очень востребованной, но процесс её решения заставил придумывать нестандартные ходы. Будут освещены вопросы архитектуры скрипта, который сможет выполнять данную задачу, и показаны примеры работы с брандмауэром Windows из powershell. Кто заинтересовался, прошу ниже.