文章目錄
使用公共信息模型(CIM)插件組件
1. 目標
- 描述Splunk公共信息模型
- 列出Splunk CIM插件隨附的知識對象
- 使用CIM插件組件規範化數據
2. 什麼是通用信息模型(CIM)?
- Splunk公共信息模型提供了一種標準化數據的方法
- 在創建字段提取,字段別名,事件類型和標籤時利用CIM來確保:
- 多個應用程序可以共存於一個Splunk部署中
- 可以將對象權限設置爲全局,以供多個應用程序使用
- 來自不同來源和來源類型的數據的關聯更輕鬆,更有效
3. Splunk CIM如何工作
4. 規範化的字段名稱 – 電子郵件數據
| 字段名 | 數據類型 | 描述 | 可能的值 |
|---|---|---|---|
| action | string | 報告設備採取的措施。 | delivered, blocked, quarantined, deleted, unknown |
| duration | number | 完成消息傳遞事件的時間,以秒爲單位。 | |
| src | string | 發送消息的系統。可以從更特定的字段(例如src_host,src_ip或src_name)別名。 |
5. 規範化的字段名稱 – 網絡流量
| 字段名 | 數據類型 | 描述 | 可能的值 |
|---|---|---|---|
| aciton | string | 網絡設備採取的操作。 | allowed, blocked, dropped, unknown |
| bytes | number | 此設備/接口處理的字節總數(bytes_in + bytes_out)。 | |
| bytes_in | number | 該設備/接口接收到多少字節。 | |
| bytes_out | number | 該設備/接口傳輸了多少字節。 | |
| src | string | 網絡流量的源(客戶端請求連接)。可以從更特定的字段(例如src_host,src_ip或src_name)別名。 |
6. 規範化的字段名稱 – Web數據
| 字段名 | 數據類型 | 描述 | 可能的值 |
|---|---|---|---|
| action | string | 服務器或代理採取的操作。 | |
| duration | numner | 代理事件花費的時間(以毫秒爲單位)。 | |
| http_method | string | 請求中使用的HTTP方法。 | GET, PUT, POST, DELETE, 等。 |
| src | string | 網絡流量的源(客戶端請求連接)。 | |
| status | string | HTTP響應代碼,指示代理請求的狀態。 | 404, 302, 500, 等 |
7. Splunk CIM插件
- 一組22個預配置的數據模型
- 字段和事件類別標籤
- 感興趣域的最小公分母
- 利用CIM,以便多個應用程序中的知識對象可以在單個Splunk部署中共存
- 在splunkbase上可用:
- https://splunkbase.splunk.com/app/1621/
- 使用CIM參考表
- https://docs.splunk.com/Documentation/CIM/4.5.0/User/Howtousethesereferencetables
備註:
CIM附件中包含的數據模型是在關閉數據模型加速的情況下配置的。
8. 使用CIM插件組件
- 檢查您的數據
- 前往Settings > Data Models
- 確定與您的數據集相關的數據模型
最佳實踐:
在單獨的標籤中讓“Splunk文檔中的CIM參考表”頁面保持打開狀態。
- 創建事件類型和標籤
- 識別與事件相關的CIM數據集
- 觀察該數據集或任何父數據集需要哪些標籤
- 使用事件類型將這些標籤應用於事件
- 創建字段別名
- 確定數據中的任何現有字段的名稱是否與數據模型期望的名稱不同
- 定義字段別名以在原始數據中捕獲具有不同名稱的字段,並將其映射到CIM期望的字段名稱
- 添加缺少的字段
- 創建字段提取
- 編寫查找以添加字段並規範化字段值
- 根據數據模型進行驗證
- 使用datamodel命令
- 在Splunk Web中使用數據透視
備註:
有關更多信息,請參見《通用信息模型附加手冊》
9. datamodel命令
- 搜索指定的數據模型對象
- 返回所有或指定數據模型及其對象的描述
- 它是個生成命令,應該是管道中的第一個命令
重點:
除非在數據模型名稱之前,否則對象名稱和搜索關鍵字無效。命令搜索不能用搜索字符串或名稱代替。
10. datamodel命令 - 例子
| datamodel Web Web search | fields Web*
datamodel:命令
Web:數據模型名稱
Web:數據模型數據集名稱
fields:命令
Web*:查找帶有Web前綴的字段名稱
數據模型名稱在數據集名稱之前*
備註:
使用datamodel命令時,數據模型名稱和數據集名稱區分大小寫。
11. from命令
- 從數據模型或命名數據集中檢索數據
- 必須是搜索中的第一個命令
- 不同於僅使用數據模型
- datamodel返回所有以數據模型名稱開頭的字段
- from datamodel僅返回特定字段
| from datamodel:"internal_server.splunkdaccess"
- from還可以從保存的搜索,報告或查找文件中檢索數據
| from savedsearch:mysecurityquery
12. 其他CIM資源
- 瞭解和使用CIM附加組件
http://docs.splunk.com/Documentation/Splunk/latest/Knowledge/UnderstandandusetheCommonInformationModel - Splunk CIM概述
http://docs.splunk.com/Documentation/CIM/latest/User/Overview - 使用CIM在搜索時規範化數據
http://docs.splunk.com/Documentation/CIM/latest/User/UsetheCIMtonormalizedataatsearchtime