我的用例是提供每天特定错误(按特定模式搜索)的计数,并提供此类“错误”请求相对于每天处理的请求总数(不使用错误模式搜索)的百分比。无法为其形成适当的查询。基本查询是 -获取每天的总计数:index=my_index | bucket _time span=day | stats count by _time ...
sourcetype="secure*" AND "failed password" | stats count by ip | sort 10 -count 3.3 用户异地登录 场景描述:用户在短时间内多次异地登录,即可视为账号异常。 安全策略:1天内超过3个城市登录即可视为异地登录异常。 代码语言:javascript 代码运行次数:0 运行 AI代码解释 sourcetype="secure*" action="Accept...
| stats count by message.reqPath 统计YN比率 index= aliyun sourcetype=ali_formatted_cdn message.reqPath ="/xxx/contents*" | eval gt1s=if('netPerf.downloadTime'>1000, "Y", "N") | stats count by gt1s index= aliyun sourcetype=ali_formatted_cdn ( message.reqPath="/xx/contents*") | eval...
使用以下命令,先解析一下rex field=form_data其实是正规则匹配的意思快速匹配爆破密码的部分然后stats count by userpassword就是计数看看每个密码出现的次数。最后的sort就是按多到少排序,这里可以看到batman出现了两次而其它密码都是一次过。 命令: index=botsv1 imreallynotbatman.com sourcetype="stream:http" ...
sourcetype="secure*"action="Accepted"| bin _time span=1d | stats count(user) by ip| rename count(user)asUser_count | search User_count>10 3.5 异常登录时间 场景描述:定义正常的服务器登录时间,如在正常时间范围之外登录,可提示告警。 安全策略:凌晨0点到早上8点内,登录成功的账号。
stats count()括号中可以插入字段,主要对事件进行计数stats dc()distinct count,去重之后对唯一值进行统计stats values()去重复后列出括号中的字段内容stats avg()求平均值 如下图所示,这张图是从很老的一个ppt中改的,可以很直观看到Splunk的界面及使用方法。
sourcetype="secure*" AND "failed password" | stats count by ip | sort 10 -count 1. 3.3 用户异地登录 场景描述:用户在短时间内多次异地登录,即可视为账号异常。 安全策略:1天内超过3个城市登录即可视为异地登录异常。 复制 sourcetype="secure*" action="Accepted"| bin _time span=1d |iplocation ip...
sourcetype="secure*" AND "failed password" | stats count by ip | sort 10 -count 3.3 用户异地登录 场景描述:用户在短时间内多次异地登录,即可视为账号异常。 安全策略:1天内超过3个城市登录即可视为异地登录异常。 sourcetype="secure*" action="Accepted"| bin _time span=1d |iplocation ip | stats...
name="*.uber.com"|stats values(name)by value|iplocation value|geostats count by City 这将得到如下所示结果: 当然,有时这样做可能没有多大用处,但的确却可以立刻获悉目标服务器的地理位置。 如果需要对攻击目标组织在特定国家/地区内的服务器进行精确打击的话,则可以使用Splunk来进行相应的过滤: ...
需要使用stats命令和count函数并且使用by子句 4、倒序显示每个顾客购买多少花? sourcetype="access_combined_wcookie" action=purchase category_id=flowers | stats count by clientip | sort -count sort -count:按照count字段倒序排序 sort count:按照正序排序 ...