Приветствую,
уважаемый читатель!
От
корректного отображения/использования/преобразования времени в SIEM-системах зависит очень много, в
т.ч. количество событий, возвращаемых аналитику. В Splunk можно
по-разному определять временной интервал поиска событий: хочешь фильтром на
дашборде, хочешь переменной (токеном) в теле запроса и т.д. Но вот с savedsearch-запросами, всё
оказалось не очевидно.
Про
использование savedsearch
я
немного писал тут - http://unitybas.blogspot.com/2017/09/splunk-savedsearch.html . С помощью
специального конфигурационного файла можно сохранить запрос и настроить его
периодическое выполнение.
Так
вот, отладив один из запросов и сохранив его в savedsearch.conf
по
привычке вписал в тело запроса параметры времени через earliest="-1d" latest=now.
И….получил вместо событий одного дня почти все события, которые были в sourcetype.
Разгадка
оказалась проста, параметры времени поиска событий, указанные в теле запроса,
по всей видимости, игнорируются и их необходимо в явном виде указать в savedsearch.conf через
параметры dispatch.earliest_time
и dispatch.latest_time.
Пример приведен ниже:
[getSecPLogs]
search = | makeresults |
append [search sourcetype=SecEvent…….
enableSched = 1
dispatch.earliest_time =
-1d@d
dispatch.latest_time = now
cron_schedule
= 00
01
* * *
Лирические отступления:
Есть в запросе указать dispatch.earliest_time = -1d и выполнить его в 12.00, то вернутся события с
12.00 прошлого дня. Если в запросе указать dispatch.earliest_time = -1d@d, то вернутся события с 00.00 прошлого дня.
Комментариев нет:
Отправить комментарий