因为我正在从事网络安全项目。我需要为单个用户创建专用查找表,以便任何其他用户都不应看到其他用户的内容查找表。 我通过以下方式创建了查找表:
curl -k -u username:pwd https://localhost:8089/servicesNS/nobody/*appname*/data/lookup-table-files -d 'eai:data=/opt/splunk/var/run/splunk/lookup_tmp/april.csv' -d 'name=12_april_lookup.csv'
这在.../my_app/lookup/ folder内创建了12_april_lookup.csv文件。此时,此查找表权限是私有的。
但 当我通过以下搜索命令将一些数据添加到查找表时:
| makeresults | eval name="xyz" | eval token="12345"| outputlookup 12_april_lookup.csv append=True createinapp=True
然后文件将在其他应用程序文件夹中创建,并具有全局权限。现在所有用户都可以通过以下方式查看文件内容
|inputlookup 12_april_lookup.csv
需要使用相同的应用程序搜索部分运行以下命令: 由于此命令在全局应用程序级别运行,因此文件是使用全局权限在全局级别创建的。 在splunk中,每个应用程序都有搜索部分。基于将在该应用查找文件夹中创建的应用搜索部分文件。 确保我们在splunk中进行的每次搜索,您都在正确的应用程序部分。| makeresults | eval name="xyz" | eval token="12345"| outputlookup 12_april_lookup.csv append=True createinapp=True