Splunk SPL クエリ
Splunk SPL クエリ とは何ですか?
Splunk SPL クエリSplunk の Search Processing Language で記述するサーチ。マシンデータの絞り込み、変換、相関、可視化を行い、検知・ハンティング・レポートに用いる。
Splunk SPL(Search Processing Language)は、Splunk Enterprise、Splunk Cloud、Splunk Enterprise Security でインジェストされたログを問い合わせるためのパイプベースのクエリ言語です。クエリは検索フィルタから始まり、stats、eval、rex、lookup、join、tstats、transaction、timechart といったコマンドをパイプ演算子で連結していきます。検知エンジニアは SPL で相関ルールを表現し、スレットハンターはアドホックな調査に、アナリストはダッシュボードとレポート構築に SPL を用います。SPL のスキルは KQL(Microsoft Sentinel)、YARA-L(Google Chronicle)と並び、SOC・検知エンジニアリング職で最も需要のある能力のひとつです。大規模運用ではアクセラレーテッドデータモデルやインデックス対象フィールドなどの性能設計が重要になります。
● 例
- 01
index=wineventlog EventCode=4625 | stats count by user, ComputerName | where count > 10
- 02
| tstats summariesonly=true count from datamodel=Authentication where Authentication.action=failure by Authentication.user
● よくある質問
Splunk SPL クエリ とは何ですか?
Splunk の Search Processing Language で記述するサーチ。マシンデータの絞り込み、変換、相関、可視化を行い、検知・ハンティング・レポートに用いる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Splunk SPL クエリ とはどういう意味ですか?
Splunk の Search Processing Language で記述するサーチ。マシンデータの絞り込み、変換、相関、可視化を行い、検知・ハンティング・レポートに用いる。
Splunk SPL クエリ からどのように防御しますか?
Splunk SPL クエリ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Splunk SPL クエリ の別名は何ですか?
一般的な別名: SPL, Splunk サーチ。