我想使用 splunk 报告何时使用管理员凭据登录 Sonicwall。请帮忙
1 回答
0
从https://software.sonicwall.com/Manual/232-001835-00_Rev_A_SonicOS_Log_Event_Reference_Guide.pdf,管理员登录的日志消息看起来是“允许管理员登录”
因此,在 Splunk 中,您只需搜索以下内容即可获取所有事件
index=sonicwall "Administrator login allowed"
您可能还希望管理员登录失败,即“管理员登录因凭据错误而被拒绝”
如果您想将其放入报告中,类似以下内容就足够了
index=sonicwall "Administrator login allowed" OR "Administrator login denied due to bad credentials" | eval type=if(match(_raw,"allowed"),"success","failure") | timechart count by type
于 2019-04-25T07:27:46.850 回答