2022-11-21

TA-dmarc add-on for Splunk でDKIM認証結果を表示する

  TA-dmarc add-on for Splunk | Splunkbase を使ってDKIM認証結果を表示する


DMARCレポートにはDKIM認証の結果は載っているけど、なぜかTA-dmarcではフィールドとして扱っていないんですよね。(なんでだろう?)
なので、ひと手間かけないと検索は出来るけど値としては使えないです。

sourcetype="dmarc:json"
| eval dkim = spath ( _raw, "feedback{}.record.auth_results.dkim.result")
| stats count by dkim

TA-dmarcで取り込んだデータを読み込みます。
sourcetype="dmarc:json"

dkim認証結果をjsonから抽出します。
spath(X,Y)でXのxmlまたはjsonからYで指定した値を取得できる
| eval dkim = spath ( _raw, "feedback{}.record.auth_results.dkim.result")

円グラフで表現したい場合は stats を使用すると良いです。
| stats count by dkim

折れ線グラフなら timechart を使います。
| timechart count by dkim

SPF認証についても"dkim"を"spf"に置き換えることで取得できます。







0 件のコメント:

コメントを投稿

TA-dmarc add-on for SplunkでExchange Onlineにアクセスしよう

TA-dmarc add-on for Splunk | Splunkbase  でExchange Onlineにアクセスしよう 2022年11月時点ではExchange OnlineのIMAPは基本認証が使えないはずですので、モダン認証(OAuth2)を使う必要があります。W...