TA-dmarc add-on for Splunk | Splunkbase を使ってDMARCレポートから合否を表示する。
DMARCレポートってSPFとDKIMの結果は載っているけどDMARCは載ってないんですよね。なので、二つの結果のどちらかがPassすればPassという式が必要で次の検索コマンドを使うことで求めることが出来ます。
sourcetype="dmarc:json"
| rename "feedback{}.record.row.policy_evaluated.dkim" AS dkim
| rename "feedback{}.record.row.policy_evaluated.spf" AS spf
| eval dmarc = if(like(dkim, "pass") OR like(spf, "pass"), "pass", "fail")
| table dkim, spf, dmarc
TA-dmarcで取り込んだデータを読み込みます。
sourcetype="dmarc:json"フィールド名が長いので短い名前に変更します。
| rename "feedback{}.record.row.policy_evaluated.dkim" AS dkimdkimの値を求めます
| rename "feedback{}.record.row.policy_evaluated.spf" AS spf
dkim 又は spf もしくは両方が"pass"だったら"pass"を"dmarc"に代入します。
文字列比較なので like(TEXT, PATTERN) を使います。
| eval dmarc = if(like(dkim, "pass") OR like(spf, "pass"), "pass", "fail")結果を表として表示します。
| table dkim, spf, dmarc円グラフで表現したい場合は stats を使用すると良いです。
| stats count by dmarc折れ線グラフなら timechart を使います。
| timechart count by dmarc
0 件のコメント:
コメントを投稿