Comando raro no Splunk

[post-views]
Dezembro 30, 2024 · 1 min de leitura
Comando raro no Splunk

rare comando no Splunk ajuda você a encontrar os valores menos comuns em um campo específico dos seus dados. Isso é útil para identificar eventos incomuns ou pouco frequentes. Por padrão, o rare comando no Splunk retorna os 10 valores menos comuns para um campo especificado.

Encontrar Agentes de Usuário Raros

Para identificar os agentes de usuário menos comuns nos seus registros de acesso à web:

index=web sourcetype=access_logs | rare user_agent

Isso retorna 10 dos agentes de usuário menos comuns.

Identificar Códigos de Status HTTP Incomuns

Para detectar códigos de status HTTP raros em seus logs de segurança:
Aqui definimos o limite de retornos usando limit

index=security sourcetype=security_logs | rare http_status_code limit=3

Isso retorna os 3 códigos de status HTTP menos comuns, ajudando a identificar respostas incomuns.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Lógica Instantânea de Correspondência de Domínio para o Splunk via Uncoder AI
Blog, Plataforma SOC Prime — 2 min de leitura
Lógica Instantânea de Correspondência de Domínio para o Splunk via Uncoder AI
Steven Edwards
Traduzir do Sigma para 48 Idiomas
Blog, Plataforma SOC Prime — 2 min de leitura
Traduzir do Sigma para 48 Idiomas
Steven Edwards
De IOCs a Consultas: Como o Uncoder AI Automatiza a Ação em Inteligência de Ameaças
Blog, Plataforma SOC Prime — 3 min de leitura
De IOCs a Consultas: Como o Uncoder AI Automatiza a Ação em Inteligência de Ameaças
Steven Edwards