社区编辑申请
注册/登录
Splunk系列之Splunk字段提取篇
安全 应用安全
Splunk提供了一种非常简单的方式来提取字段,就是使用字段提取器,即使在你完全不了解正则表达式的情况下,也可以轻松完成字段提取。

一、简单概述

Splunk 是一款功能强大的搜索和分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。

当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段不同,Splunk可以通过用户自定义从原始数据中动态提取字段。

这里,我们演示一下如何利用Splunk来提取字段。

二、字段提取器

Splunk提供了一种非常简单的方式来提取字段,就是使用字段提取器,即使在你完全不了解正则表达式的情况下,也可以轻松完成字段提取。

2.1 访问字段提取器

执行事件搜索,左边栏往下,单击提取新字段,进入字段提取器。

2.2 选择示例

在事件列表中,选择一个需要进行字段提取的示例事件。

2.3 选择方法

提供了两种字段提取的方法:正则表达式和分隔符。正则表达式主要用于非结构化数据;而基于表格的结构化数据,使用分隔符即可。

2.4 选择字段

选择需要字段提取的值,下面会出现对话框,对字段名称进行命名。一般我们也可手动编辑正则表达式进行调整。

2.5 验证

通过预览,以确认事件列表的匹配程序,

2.6 保存

在这一步,可以对提取名称和权限进行设置,点击完成来保存提取。

三、新字段提取

在Splunk Web中,提供了一种快速设置字段提取的方式,只需提供正则表达式,就可以直接完成新字段提取。

3.1 新字段提取

(1)设置→ 字段提取→新字段提取

设置名称、sourcetype,写入正则表达式,点击保存即可。

3.2 查看字段提取规则

在字段提取页面中,搜索关键词,可找到刚才设置的字段提取规则。

四、使用搜索命令提取字段

通过搜索命令以不同方式提取字段,如rex、extract、xpath等。但这种方式仅适用于搜索过程中的返回的中间结果,无法新建字段重复使用。

sourcetype="secure-2" port  "failed password"
| rex field=_raw "(?P<user>\w+)\sfrom\s(?P<ip>[^ ]+)"
| table user,ip

责任编辑:武晓燕 来源: Bypass
相关推荐

2022-03-25 00:00:00

Splunk搜索SPL

2021-11-11 06:57:01

2022-05-09 09:00:00

Splunk数据分析工具

2019-05-06 14:12:57

数据SplunkIT

2018-06-12 14:35:01

2018-06-12 15:01:17

2019-08-28 08:00:00

同话题下的热门内容

关于Web渗透测试需要知道的一切:完整指南如何保护智能家居避免黑客攻击理解工作角色和选择网络安全职业的指南多家“巨头公司”遭受网络攻击,全球数百万用户信息恐遭泄露网络安全等级保护:测评机构业务范围和工作要求及风险控制如何在Node.js中防范跨站脚本攻击微软365网络钓鱼攻击中滥用Snapchat和Amex网站黑客攻击接连不断,多链区块链愿景还存在吗?

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号