A estrutura dos eventos dar-se-á através de configurações aplicadas no objeto chamados sourcetype e transforms configurados comumente nos arquivos props.conf e transforms.conf.
Props.conf é usado para:
• Configurando quebra de linha para eventos de várias linhas.
• Configurando a codificação do conjunto de caracteres.
• Permitindo o processamento de arquivos binários.
• Configurando o reconhecimento de data/hora.
• Configurando a segmentação de eventos.
• Substituindo host automatizado e correspondência de tipo de fonte.
Você pode usar props.conf para:
• Configurar host e fonte avançados (baseados em expressões regulares) substituições de tipo.
• Substitua a correspondência de tipo de fonte para dados de uma fonte específica.
• Configure o reconhecimento de tipo de fonte baseado em regras.
• Renomear tipos de fonte.
• Tornar anônimos certos tipos de dados confidenciais de entrada, como crédito números de cartão ou de segurança social, usando scripts sed.
• Encaminhar eventos específicos para um index particular, quando você tem vários index.
• Criação de novas extrações de campo de tempo de indexação, incluindo campo baseado na extração do cabeçalho.
NOTA: Não adicione ao conjunto de campos que são extraídos no momento da indexação, a menos que seja absolutamente necessário porque há implicações negativas de desempenho.
Você pode encontrar mais informações sobre esses tópicos pesquisando na documentação Splunk (http://docs.splunk.com/Documentation/Splunk).
Para o projeto Arctica xOne, criado:
[Arctica::HomeOffice::InstalledPrograms] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false pulldown_type = true TRUNCATE = 0 [Arctica::HomeOffice::Registry] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false pulldown_type = true [Arctica::HomeOffice::Process] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false TRUNCATE = 0 MAX_EVENTS = 600000 pulldown_type = true [Arctica::HomeOffice::UserKeyboardMouseActivity] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false pulldown_type = true [Arctica::HomeOffice::UserActivity] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false pulldown_type = true [Arctica::HomeOffice::SpeedTest] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false pulldown_type = true [Arctica::HomeOffice::NetworkDiscovery] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false pulldown_type = true [Arctica::HomeOffice::Hardware] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. pulldown_type = 1 [Arctica::HomeOffice::RemediationScript] INDEXED_EXTRACTIONS = json KV_MODE = NONE category = Structured description = ARCTICA - JavaScript Object Notation format. disabled = false pulldown_type = true
A configuração está localizada no diretório:
$SPLUNK_HOME/etc/apps/TA-arctica/local no servidor SPLUNK SEARCH HEAD.
