我正在尝试了解如何在Splunk中编写Eval语句,但文档没有帮助。具体地说,我正在研究恶意软件CIM数据模型,其中有一个名为";恶意软件攻击;规定值为:临界值、高值、中值和低值。如何使用这个CIM字段和指定的值创建eval语句,并将其应用到我在捕获组中单独创建的regex中?
谢谢Jack
我尝试过Splunk CIM数据模型文档,但它没有详细说明规定的值以及如何应用有问题的CIM数据字段,也没有详细说明如何将其合并到编写eval语句中
严重性字段已经存在于数据模型(DM(中,所以您所要做的就是引用它。通过指定DM名称和用点分隔的字段来实现这一点。例如,| table "Malware_Attacks.severity"。引号用于防止Splunk将其视为两个串联字段(因为.也是concattention运算符(。您可以使用rename删除DM名称,使字段可以直接引用,从而使生活变得更轻松。
| rename "Malware_Attacks.*" as *
| table severity