我是splunk语言的新用户,我正在尝试检测从源ip地址到目标ip地址的100多个特定端口(20,21,23,80,443)的扫描它没有给我任何结果,尽管我确信有与此搜索对应的结果。
我创建了如下规则:
<<p>指数=网络/em>| stats dc(destination_port) as number_destination_port by source_ip
| where (number_destination_port>100 AND destination_port IN (20, 21, 23, 80, 443))
我知道问题来自where子句的第二个条件,你能给我一些建议,如何纠正这个警告,甚至改进它吗?
这就是我要检测的:端口扫描检测
where命令的第二个子句使用IN操作符,该操作符仅对search和tstats命令可用。请使用in()函数。
index=network
| stats dc(destination_port) as number_destination_port by source_ip destination_ip
| where (number_destination_port>100 AND in(destination_port, 20, 21, 23, 80, 443))