splunk.es.correlation_search 模块 – 管理 Splunk Enterprise Security 相关性搜索

注意

此模块是 splunk.es 集合(版本 4.0.0)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install splunk.es

要在 Playbook 中使用它,请指定:splunk.es.correlation_search

splunk.es 1.0.0 中的新增功能

已弃用

在以下版本中移除:

2024-09-01 之后的第一个主要版本

原因:

发布了具有更多功能的新和更新的模块。

替代方案:

splunk_correlation_searches

概要

  • 此模块允许创建、删除和修改 Splunk Enterprise Security 相关性搜索

别名:splunk_correlation_search

参数

参数

注释

app

字符串

Splunk 应用与相关性搜索相关联

默认: "SplunkEnterpriseSecuritySuite"

cron_schedule

字符串

输入 cron 风格的时间表。

例如,'*/5 * * * *‘ (每 5 分钟) 或 '0 21 * * *‘ (每天晚上 9 点)。

实时搜索使用默认时间表 '*/5 * * * *‘

默认: "*/5 * * * *"

description

字符串 / 必需

相关性搜索的描述,这将填充 Web 控制台的描述字段

name

字符串 / 必需

相关性搜索的名称

schedule_priority

字符串

提高报表的调度优先级。设置为“Higher”以使其优先级高于相同调度模式的其他搜索,或设置为“Highest”以使其优先级高于其他搜索,无论模式如何。谨慎使用。

选择

  • "Default" ← (默认)

  • "Higher"

  • "Highest"

schedule_window

字符串

让报表在其计划运行时间打开的窗口内的任何时间运行,以在有许多并发计划报表时提高效率。“auto”设置会自动确定报表的最佳窗口宽度。

默认: "0"

scheduling

字符串

控制调度器计算计划搜索的下一个执行时间的方式。

了解更多:https://docs.splunk.com/Documentation/Splunk/7.2.3/Report/Configurethepriorityofscheduledreports#Real-time_scheduling_and_continuous_scheduling

选择

  • "real-time" ← (默认)

  • "continuous"

字符串 / 必需

SPL 搜索字符串

state

字符串 / 必需

添加、删除、启用或禁用相关性搜索。

选择

  • "present"

  • "absent"

  • "enabled"

  • "disabled"

suppress_alerts

布尔值

是否禁止此相关性搜索的警报

选择

  • false ← (默认)

  • true

throttle_fields_to_group_by

字符串

键入要考虑用于匹配事件以进行节流的字段。

throttle_window_duration

字符串

忽略与“要分组的字段”中指定的字段值匹配的其他事件的时间。

time_earliest

字符串

使用相对时间修饰符的最早时间。

默认: "-24h"

time_latest

字符串

使用相对时间修饰符的最新时间。

默认: "now"

trigger_alert_when

字符串

提高报表的调度优先级。设置为“Higher”以使其优先级高于相同调度模式的其他搜索,或设置为“Highest”以使其优先级高于其他搜索,无论模式如何。谨慎使用。

选择

  • "number of events" ← (默认)

  • "number of results"

  • "number of hosts"

  • "number of sources"

trigger_alert_when_condition

字符串

传递给 trigger_alert_when 的条件

选择

  • "greater than" ← (默认)

  • "less than"

  • "equal to"

  • "not equal to"

  • "drops by"

  • "上升 幅度为"

trigger_alert_when_value

字符串

传递给 trigger_alert_when 的值

默认值: "10"

ui_dispatch_context

字符串

设置一个应用程序,用于诸如突出事件中的向下钻取搜索或电子邮件自适应响应操作中的链接。如果为 None,则使用应用程序上下文。

说明

注意

  • 以下选项尚不支持:throttle_window_duration、throttle_fields_to_group_by 和 adaptive_response_actions

示例

- name: Example of creating a correlation search with splunk.es.coorelation_search
  splunk.es.correlation_search:
    name: "Example Coorelation Search From Ansible"
    description: "Example Coorelation Search From Ansible, description."
    search: 'source="/var/log/snort.log"'
    state: "present"

状态

  • 此模块将在 2024-09-01 之后的重大版本中移除。[已弃用]

  • 有关更多信息,请参阅 已弃用

作者