Creando un panel simple que monitorea la accesibilidad de fuentes en Splunk

SIEM y EDR

noviembre 10, 2017

2 min de lectura

Creando un panel simple que monitorea la accesibilidad de fuentes en Splunk

Alex Verbniak
Alex Verbniak Ingeniero de Seguridad Senior linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

En el artículo anterior, hemos examinado el uso de paneles dependientes para crear visualizaciones convenientes en los tableros. Si te lo perdiste, sigue el enlace: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Muchas personas que comienzan a estudiar Splunk tienen preguntas sobre el monitoreo de la disponibilidad de los datos entrantes: cuándo fue la última vez que llegaron datos de una fuente en particular, cuándo dejaron de llegar los datos o qué fuentes no están disponibles ahora. Por lo tanto, hoy haremos un tablero simple con información sobre la disponibilidad de fuentes en nuestro Splunk.

Cómo mantenerse al día con la accesibilidad de las fuentes

1. Primero, vamos a crear un tablero con el título ‘Disponibilidad de Fuentes’:

2. Luego hacemos una solicitud de búsqueda para la creación de tablas estadísticas. Es necesario realizar una solicitud de búsqueda para la tabla estadística en todos los índices datos (index=*): nos gustaría buscar el último evento de cada host y fuente, para eso usaremos ‘stats’ comando:index=* | stats max(_time) as last_time by host, source


‘last_time’el campo nos muestra la última vez en formato de tiempo Unix cuando llegaron eventos a Splunk.

3. Ahora añadimos y calculamos variables ‘Hace minutos’, ‘Hace horas’, ‘Hace días’. Para minutos:eval latency_minutes=round((now()-last_time)/60,0)Para horas:eval latency_hours=round(latency_minutes/60,0)Para días:eval latency_days=round(latency_hours/24,0)

Nota: ‘round’ se usa para redondear y obtener un entero.Resultado:

4. Bien, ahora renombremos campos y convirtamos ‘last_time’ al formato legible por humanos. También es necesario agregar un campo de condición desencadenante: si latency_minutes es más de 5 el estado si ‘Apagado’, si es menos de 5 minutos –‘Encendido’:

5. Como resultado, vemos el siguiente tablero:En este artículo, demostré cómo hacer una solicitud de búsqueda simple para monitorear la accesibilidad de las fuentes. Usando este método, puedes determinar rápidamente qué fuente falta o ha dejado de estar disponible. Esta lógica también puede usarse con otros tipos de datos, donde es necesario monitorear que el proceso no se haya caído y todavía esté en línea. En lugar de fuentes, puedes usar cualquier otro evento y campo para monitorear. Así que, la próxima semana, voy a demostrar cómo cambiar el color de una celda dependiendo del valor para construir tablas informativas.

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More SIEM y EDR Articles

Instalación y Configuración de Paquetes de Contenido para QRadar 3 min de lectura SIEM y EDR Instalación y Configuración de Paquetes de Contenido para QRadar by Veronika Zahorulko ¿Qué es la Ingeniería de Detección? 9 min de lectura SIEM y EDR ¿Qué es la Ingeniería de Detección? by Oleksandra Rumiantseva SOC Prime introduce The Prime Hunt 6 min de lectura SIEM y EDR SOC Prime introduce The Prime Hunt by Veronika Zahorulko