Splunk - Alias
Alasta 12 Février 2021 splunk splunk admin cli
Description : Nous allons voir comment ajouter un alias
Contexte :
Nous pouvons avoir besoin d'ajouter un alias comme par exemple dans le cas de la mise en place sur format CIM.
Prérequis :
Avoir un index peuplé, un sourcetype.
Dans cet exemple nous partirons avec un index peuplé de logs Fortinet, le sourcetype sera un sourcetype maison pour simplifier.
Les logs Fortigate du lab sont disponibles ICI.
Configuration
Déclaration du sourcetype
1 $ mkdir -p $SPLUNK_HOME/etc/apps/alasta-lab-TA-001/local/
2 $ vi $SPLUNK_HOME/etc/apps/alasta-lab-TA-001/local/props.conf
3
4 [alasta:forti]
5 SHOULD_LINEMERGE = false
6 LINE_BREAKER = ([\r\n]+)
7 TIME_PREFIX = date=
8 TIME_FORMAT = %Y-%m-%d time=%H:%M:%S
9 MAX_TIMESTAMP_LOOKAHEAD = 30
10 TRUNCATE = 1000000000000
11 KV_MODE = auto
12
13 ##FIELDALIAS-<class> = <orig_field_name> AS <new_field_name>
14 ##Un alias
15 FIELDALIAS-test1 = profile AS kikafekoi
16
17 ##Possibilité de déclarer plusieurs alias en une ligne
18 FIELDALIAS-monalias = dstip AS madestinationip sn AS monsn
Note :
De base comme cela, ça ne va pas fonctionner, il faut déclarer les droits sur les alias au travers du fichier local.meta.
1 $ vi $SPLUNK_HOME/etc/apps/alasta-lab-TA-001/metadata/local.meta
2 # Application-level permissions
3
4 []
5 access = read : [ * ], write : [ admin]
6 export = system
Déclaration du monitor
1 $ mkdir -p $SPLUNK_HOME/etc/apps/alasta-lab-001-input/local/
2 $ vi $SPLUNK_HOME/etc/apps/alasta-lab-001-input/local/inputs.conf
3
4 [monitor:///PATH/logs/fortigate.log]
5 disabled = 0
6 index = lab_fg01
7 host_regex = \/(\w+).log$
8 sourcetype = alasta:forti
Redémarrer Splunk puis aller intérroger vos données (contrairement à la production), mettez "all time" dans le timepicker car les logs ne sont pas récentes.
Requête pour vérifier l'alias madestinationip :
1 index="lab_fg01" madestinationip=*