Splunk是個相當強大的工具,可以與許多東西結合,這次介紹Splunk在cisco asa上面的套件。主要就是這兩部分
1.是主要的儀表板(dashboard),也就是下面看到的畫面,各種監控是做在這個套件上。
2.為主要的輔助,包含了各式欄位擷取規則/查閱等等,可以說沒了這個補助,儀表板也是畫不出來的。
基本上安裝過程就是在UI介面上操作。那這樣還要說甚麼呢? 這次主要講的是一個小細節,如果沒有這樣設定的話,當你把蒐集來的ASA資料令存在其他的Index時(建議這麼做),儀錶板就無法正常顯示,此時就需要做圖二以下設定。
到設定中,把儀表板中的search code增加資料存放的index,這樣儀表板就可以正常顯示了。詳細如以下系列圖所示
需要將預設的search進行修改,search code中加入index=<your index name>
沒有留言:
張貼留言