Splunk lookuptable

У меня есть csv с разными типами IoC, такими как адреса электронной почты, IP-адреса и т. Д. Я хочу запустить поиск по любому из моих индексов, который вернет каждую запись, которая имеет какое-либо совпадение с моим списком. Вот чего я хочу добиться:

index=* "item1" OR "item2" OR "item3"

Поскольку в моем списке тысяча пунктов, это не сработает. Итак, я загрузил свой csv как lookuptable и попробовал следующее:

index=* [| inputlookup  test.csv]

Это ничего не возвращает, но если я ищу каждый элемент «вручную», я получаю результаты. Что мне не хватает?


splunk splunk-query
person fishmong3r    schedule 04.01.2019    source источник
comment
Этот Splunk Ссылка "Ответы" выглядит так, как будто она содержит то, что вы пытаетесь понять, как это сделать. Я действительно не хочу красть чужой ответ, хотя   -  person Colby    schedule 11.01.2019

Ответы (1)


arrow_upward
1
arrow_downward

Было бы полезно узнать формат вашего CSV, но это должно помочь.

index=* [| inputlookup  test.csv | format]

Если вы настаиваете на использовании index=*, сделайте себе одолжение и используйте небольшое временное окно.

person RichG    schedule 04.01.2019