如何解决Splunk inputlookup和结果提取
我正在尝试进行域搜索,并检查是否访问了CSV中的域,但是我什么也没得到。
我正在使用什么:
index="suricata" sourcetype="suricata:dns" dns.answers{}.rrname="*"
[ | inputlookup domains.csv
| rename bad_domain as dest_ip | fields dest_ip ]
解决方法
首先,确保suricata:dns源类型具有一个名为“ dest_ip”的字段。如果不是,那么在子搜索中将需要一个rename
命令。
第二,尝试将| format
添加到子搜索的末尾。单独运行子搜索以查看其产生的结果。然后,该结果字符串将成为主要搜索的一部分。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。