2022-11-20

TA-dmarc add-on for Splunk でDMARC合否を表示する

 TA-dmarc add-on for Splunk | Splunkbase を使ってDMARCレポートから合否を表示する。

DMARCレポートってSPFとDKIMの結果は載っているけどDMARCは載ってないんですよね。
なので、二つの結果のどちらかがPassすればPassという式が必要で次の検索コマンドを使うことで求めることが出来ます。

sourcetype="dmarc:json"
| rename "feedback{}.record.row.policy_evaluated.dkim" AS dkim
| rename "feedback{}.record.row.policy_evaluated.spf" AS spf
| eval dmarc = if(like(dkim, "pass") OR like(spf, "pass"), "pass", "fail")
| table dkim, spf, dmarc

TA-dmarcで取り込んだデータを読み込みます。
sourcetype="dmarc:json"
フィールド名が長いので短い名前に変更します。
| rename "feedback{}.record.row.policy_evaluated.dkim" AS dkim
| rename "feedback{}.record.row.policy_evaluated.spf" AS spf
dkimの値を求めます
dkim 又は spf もしくは両方が"pass"だったら"pass"を"dmarc"に代入します。
文字列比較なので like(TEXT, PATTERN) を使います。
| eval dmarc = if(like(dkim, "pass") OR like(spf, "pass"), "pass", "fail")
結果を表として表示します。
| table dkim, spf, dmarc
円グラフで表現したい場合は stats を使用すると良いです。
| stats count by dmarc
折れ線グラフなら timechart を使います。
| timechart count by dmarc





0 件のコメント:

コメントを投稿

TA-dmarc add-on for SplunkでExchange Onlineにアクセスしよう

TA-dmarc add-on for Splunk | Splunkbase  でExchange Onlineにアクセスしよう 2022年11月時点ではExchange OnlineのIMAPは基本認証が使えないはずですので、モダン認証(OAuth2)を使う必要があります。W...