0

因为我正在从事网络安全项目。我需要为个人用户创建私有查找表,这样任何其他用户都不应该看到其他用户查找表的内容。我通过以下方式创建了查找表:

curl -k -u username:pwd https://localhost:8089/servicesNS/nobody/*appname*/data/lookup-table-files -d 'eai:data=/opt/splunk/var/run/splunk/lookup_tmp/april.csv' -d 'name=12_april_lookup.csv'

12_april_lookup.csv.../my_app/lookup/ folder. 此时此查找表权限是私有的。

但是,当我通过以下搜索命令将一些数据添加到查找表时:

| makeresults | eval name="xyz" | eval token="12345"| outputlookup 12_april_lookup.csv append=True createinapp=True

然后文件将在具有全局权限的其他应用程序文件夹中创建。现在所有用户都可以通过以下方式查看文件内容

|inputlookup 12_april_lookup.csv
4

1 回答 1

0

需要在具有相同应用程序搜索部分的命令下运行:由于此命令在全局应用程序级别上运行,因此文件是在具有全局权限的全局级别上创建的。在 splunk 中,每个应用程序都有搜索部分。基于将在该应用查找文件夹中创建的应用搜索部分文件。确保我们在 splunk 中进行的每一次搜索,您都位于正确的应用部分。 | makeresults | eval name="xyz" | eval token="12345"| outputlookup 12_april_lookup.csv append=True createinapp=True

于 2017-05-10T08:56:33.753 回答