我想使用splunk报告何时使用管理员凭据登录Sonicwall。请帮忙
从https://software.sonicwall.com/Manual/232-001835-00_Rev_A_SonicOS_Log_Event_Reference_Guide.pdf,看起来管理员登录的日志消息是“允许管理员登录”
所以在Splunk中,您只需要搜索以下内容即可获得所有活动
index=sonicwall "Administrator login allowed"
您可能还需要管理员登录失败,即“由于凭据错误导致管理员登录被拒绝”
如果你想把它放在一个报告中,那么类似下面的东西就足够了
index=sonicwall "Administrator login allowed" OR "Administrator login denied due to bad credentials" | eval type=if(match(_raw,"allowed"),"success","failure") | timechart count by type