Запрос Splunk SPL
Что такое Запрос Splunk SPL?
Запрос Splunk SPLЗапрос на языке Splunk Search Processing Language для фильтрации, преобразования, корреляции и визуализации машинных данных в целях детектирования, hunting и отчётности.
Splunk SPL (Search Processing Language) — конвейерный язык запросов в Splunk Enterprise, Splunk Cloud и Splunk Enterprise Security для работы с проиндексированными логами. Запрос начинается с поискового фильтра, а затем через оператор pipe вы цепочкой подключаете команды stats, eval, rex, lookup, join, tstats, transaction, timechart. Detection-инженеры выражают корреляционные правила на SPL, threat hunters используют его для ad-hoc исследований, а аналитики строят на нём дашборды и отчёты. Навык SPL — один из самых востребованных в SOC и detection engineering, наряду с KQL (Microsoft Sentinel) и YARA-L (Google Chronicle). В больших инсталляциях критичны ускоренные data models и индексируемые токены.
● Примеры
- 01
index=wineventlog EventCode=4625 | stats count by user, ComputerName | where count > 10
- 02
| tstats summariesonly=true count from datamodel=Authentication where Authentication.action=failure by Authentication.user
● Частые вопросы
Что такое Запрос Splunk SPL?
Запрос на языке Splunk Search Processing Language для фильтрации, преобразования, корреляции и визуализации машинных данных в целях детектирования, hunting и отчётности. Относится к категории Защита и операции в кибербезопасности.
Что означает Запрос Splunk SPL?
Запрос на языке Splunk Search Processing Language для фильтрации, преобразования, корреляции и визуализации машинных данных в целях детектирования, hunting и отчётности.
Как защититься от Запрос Splunk SPL?
Защита от Запрос Splunk SPL обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Запрос Splunk SPL?
Распространённые альтернативные названия: SPL, Splunk-поиск.