В Spunk, как создать таблицу Private Lookup для человека?

Question

В Spunk, как создать таблицу Private Lookup для человека?

Как я работаю над проектом сетевой безопасности. Мне нужно создать личную таблицу поиска для отдельных пользователей, чтобы любой другой пользователь не видел содержимое таблицы поиска других пользователей. Я создал таблицу поиска по:

curl -k -u username:pwd https://localhost:8089/servicesNS/nobody/*appname*/data/lookup-table-files -d 'eai:data=/opt/splunk/var/run/splunk/lookup_tmp/april.csv' -d 'name=12_april_lookup.csv'

Это создано 12_april_lookup.csv файл внутри .../my_app/lookup/ folder, На данный момент это разрешение таблицы поиска является частным.

Но, когда я добавляю некоторые данные в таблицу поиска с помощью команды поиска:

| makeresults | eval name="xyz" | eval token="12345"| outputlookup 12_april_lookup.csv append=True createinapp=True

тогда файл будет создан в другой папке приложения с глобальным разрешением. Теперь все пользователи могут просматривать содержимое файла

|inputlookup 12_april_lookup.csv

0

splunk splunk-query splunk-formula splunk-calculation splunk-sum

Источник

user5760531 16 апр '17 в 17:51

1 ответ

Другие вопросы по тегам splunk splunk-query splunk-formula splunk-calculation splunk-sum

user5760531 10 май '17 в 08:56 2017-05-10 08:56 · Answer 1 · 2017-05-10 08:56

Необходимо выполнить приведенную ниже команду с тем же разделом поиска приложений: поскольку эта команда выполнялась на глобальном уровне приложения, файл был создан на глобальном уровне с глобальным разрешением. В splunk у каждого приложения есть раздел поиска. В зависимости от того, какой файл раздела поиска приложения будет создан в этой папке поиска приложения. Удостоверьтесь, что каждый поиск, который мы проводим в спленке, находится в правильном разделе приложения.| makeresults | eval name="xyz" | eval token="12345"| outputlookup 12_april_lookup.csv append=True createinapp=True