Splunk. Передача времени события внутри JSON-объекта

 Приветствую, уважаемый читатель!

Для того чтобы передать время возникновения события в отдельном поле JSON-объекта через Splunk HTTP-коллектор необходимо формировать события в следующем виде (пример на PS):

$JSONDoc = @"
{
"sourcetype":"LOGS",
"time":"$indextime",
"event":{
"Message":"Поле1",
"EventId":"Поле2"
.......

В поле time необходимо указать время возникновения события в UnixEpoch Time. С какой-то версии Splunk по другому не получится.

В PS получить время в таком формате можно с помощью командлета New-TimeSpan: 

(New-TimeSpan -Start (get-Date "01/01/1970") -End $EventTime).TotalSeconds

Если этого не сделать и Splunk не распознает время в JSON-объекте, то временем индексации события будет время получения события сервером Splunk. HTTP-коллектор это не Syslog, так что это может доставить кучу проблем. Хотя и с Syslog не так всё просто.....

[Fast] Подключение Secret Net Studio 8.5 к Splunk

 Приветствую, уважаемый читатель!

Сегодня постараюсь быстро рассказать - как можно (один из способов) подключить централизованные журналы СЗИ НСД Secret Net Studio к Splunk. Сразу скажу, вопрос настройки передачи событий в real-time у меня в настоящее время не стоит :)

[Fast] Splunk. Перенос конфигурации после переустановки

 Приветствую, уважаемый читатель!

Сегодня расскажу, на что обратить внимание при условно-бесплатном использовании Splunk (т.е. когда раз в 2 месяца необходимо переставлять Enterprise версию). Любителям халявы, ну или кому нужен постоянно работающий Splunk DB Connect ниже J

 

[Fast] IP пользователей OpenVPN (белый + серый)

Приветствую, уважаемый читатель!

Понадобилось связать публичный IP клиента OpenVPN и выданный ему серый IP. Запрос на SPL и пояснения ниже.

Немного «боли» в коммерческой тайне

Приветствую, уважаемый читатель!

Хочу поделиться парой мыслей по поводу защиты коммерческой тайны в компаниях. Пост будет совсем не технический :)

[Fast] Splunk Dashboard Studio. Transparent и Auto Refresh

Приветствую, уважаемый читатель!

С недавнего времени в Splunk появилась возможность создавать дашборды в специальном встроенном конструкторе - Splunk Dashboard Studio (SDS). Изменений достаточно много, и о некоторых важных я буду писать. Сегодня поговорим как сделать прозрачный фон и добавить автообновление данных.

[Fast] Telegram alert от Splunk. Стильно, модно, молодёжно!

 Приветствую, уважаемый читатель!

Хотелось начать пост как-то пафосно – "Мир вокруг нас меняется, нужно меняться вместе с ним!" :) Но, решил упростить - пора настроить оповещения о событиях безопасности в меcсенджер Telegram, т.к. когда в день листаешь 10 каналов с новостями, почему бы не листать канал с оповещениями?