splunk.es.correlation_search 模块 – 管理 Splunk Enterprise Security 关联搜索

注意

此模块是 splunk.es 集合 (版本 4.0.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install splunk.es

要在 playbook 中使用它,请指定:splunk.es.correlation_search

splunk.es 1.0.0 中的新增功能

已弃用

移除于:

2024-09-01 后的主要版本

原因:

发布了具有更多功能的更新模块。

替代方案:

splunk_correlation_searches

概要

  • 此模块允许创建、删除和修改 Splunk Enterprise Security 关联搜索

别名:splunk_correlation_search

参数

参数

注释

app

字符串

与关联搜索关联的 Splunk 应用

默认值: "SplunkEnterpriseSecuritySuite"

cron_schedule

字符串

输入 cron 样式的调度。

例如 '*/5 * * * *'(每 5 分钟)或 '0 21 * * *'(每天晚上 9 点)。

实时搜索使用默认调度 '*/5 * * * *'

默认值: "*/5 * * * *"

description

字符串 / 必需

关联搜索的描述,这将填充 Web 控制台的描述字段

name

字符串 / 必需

关联搜索的名称

schedule_priority

字符串

提高报告的调度优先级。设置为“更高”以将其优先级高于相同调度模式的其他搜索,或设置为“最高”以将其优先级高于其他搜索,无论模式如何。谨慎使用。

选项

  • "Default" ← (默认)

  • "更高"

  • "最高"

schedule_window

字符串

让报告在计划运行时间内随时运行,以提高在同时计划许多报告时的效率。“auto”设置会自动确定报告的最佳窗口宽度。

默认值: "0"

scheduling

字符串

控制调度程序计算计划搜索的下次执行时间的方式。

了解更多信息:https://docs.splunk.com/Documentation/Splunk/7.2.3/Report/Configurethepriorityofscheduledreports#Real-time_scheduling_and_continuous_scheduling

选项

  • "real-time" ← (默认)

  • "continuous"

字符串 / 必需

SPL 搜索字符串

state

字符串 / 必需

添加、删除、启用或禁用关联搜索。

选项

  • "present"

  • "absent"

  • "enabled"

  • "disabled"

suppress_alerts

布尔值

是否抑制此关联搜索的警报

选项

  • false ← (默认)

  • true

throttle_fields_to_group_by

字符串

键入要考虑用于匹配限流事件的字段。

throttle_window_duration

字符串

忽略与“按组分组的字段”中指定的字段值匹配的其他事件的时间长度。

time_earliest

字符串

使用相对时间修饰符的最早时间。

默认值: "-24h"

time_latest

字符串

使用相对时间修饰符的最新时间。

默认值: "now"

trigger_alert_when

字符串

提高报告的调度优先级。设置为“更高”以将其优先级高于相同调度模式的其他搜索,或设置为“最高”以将其优先级高于其他搜索,无论模式如何。谨慎使用。

选项

  • "number of events" ← (默认)

  • "number of results"

  • "number of hosts"

  • "number of sources"

trigger_alert_when_condition

字符串

传递给 trigger_alert_when 的条件

选项

  • "greater than" ← (默认)

  • "less than"

  • "equal to"

  • "not equal to"

  • "drops by"

  • "rises by"

trigger_alert_when_value

字符串

传递给 trigger_alert_when 的值

默认值: "10"

ui_dispatch_context

字符串

设置要用于链接的应用程序,例如重要事件中的向下钻取搜索或电子邮件自适应响应操作中的链接。如果为 None,则使用应用程序上下文。

注释

注意

  • 以下选项尚不支持:throttle_window_duration、throttle_fields_to_group_by 和 adaptive_response_actions

示例

- name: Example of creating a correlation search with splunk.es.coorelation_search
  splunk.es.correlation_search:
    name: "Example Coorelation Search From Ansible"
    description: "Example Coorelation Search From Ansible, description."
    search: 'source="/var/log/snort.log"'
    state: "present"

状态

  • 此模块将在 2024-09-01 后的主要版本中移除。[已弃用]

  • 更多信息请参见 已弃用

作者