TA-dmarc add-on for Splunk | Splunkbase を使ってDKIM認証結果を表示する
DMARCレポートにはDKIM認証の結果は載っているけど、なぜかTA-dmarcではフィールドとして扱っていないんですよね。(なんでだろう?)
なので、ひと手間かけないと検索は出来るけど値としては使えないです。
sourcetype="dmarc:json"
| eval dkim = spath ( _raw, "feedback{}.record.auth_results.dkim.result")
| stats count by dkim
TA-dmarcで取り込んだデータを読み込みます。
sourcetype="dmarc:json"
spath(X,Y)でXのxmlまたはjsonからYで指定した値を取得できる
円グラフで表現したい場合は stats を使用すると良いです。
折れ線グラフなら timechart を使います。
SPF認証についても"dkim"を"spf"に置き換えることで取得できます。
| eval dkim = spath ( _raw, "feedback{}.record.auth_results.dkim.result")
| stats count by dkim
折れ線グラフなら timechart を使います。
| timechart count by dkim
SPF認証についても"dkim"を"spf"に置き換えることで取得できます。
コメント
コメントを投稿