Comando «rare» en Splunk

[post-views]
diciembre 30, 2024 · 1 min de lectura
Comando «rare» en Splunk

El rare comando en Splunk te ayuda a encontrar los valores menos comunes en un campo específico de tus datos. Esto es útil para detectar eventos inusuales o poco frecuentes. Por defecto, el rare comando en Splunk devuelve los 10 valores menos comunes para un campo especificado.

Encontrar User Agents Raros

Para identificar los user agents menos comunes en tus registros de acceso web:

index=web sourcetype=access_logs | rare user_agent

Esto devuelve 10 de los user agents menos comunes.

Identificar Códigos de Estado HTTP Inusuales

Para detectar códigos de estado HTTP raros en tus registros de seguridad:
Aquí establecemos el límite de devoluciones usando limit

index=security sourcetype=security_logs | rare http_status_code limit=3

Esto devuelve los 3 códigos de estado HTTP menos comunes, ayudando a detectar respuestas inusuales.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Lógica de Coincidencia de Dominio Instantánea para Splunk a través de Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
Lógica de Coincidencia de Dominio Instantánea para Splunk a través de Uncoder AI
Steven Edwards
Traducir de Sigma a 48 idiomas
Blog, Plataforma SOC Prime — 2 min de lectura
Traducir de Sigma a 48 idiomas
Steven Edwards
De IOCs a Consultas: Cómo Uncoder AI Automatiza la Acción de Inteligencia de Amenazas
Blog, Plataforma SOC Prime — 3 min de lectura
De IOCs a Consultas: Cómo Uncoder AI Automatiza la Acción de Inteligencia de Amenazas
Steven Edwards