製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
Splunkのcronの動作
バージョンごとの差異 7.2.1以前 Splunkのcron動作は、一般的なLinuxのcron動作と異なる点があります。 Linux:第3フィールドと第5フィールドがOR条件で動作します。 例)0 9 15-21 * 1 の場合 (第1フィールド:分、第2フィールド:時、第3フィールド日、第4フィールド:月、第5フィールド:曜日) 7.2.2以降 Splunkのcron動作は、一般的なLinuxのcron動作と同じです。 例)0 9 15-21 * 1 の場合 (第1フィールド:分、第2フィールド:時、第3フィールド日、第4フィールド:月、第5フィールド:曜日) 7.2.1以前と同じタイミングでアラートを実行する方法 7.2.1以前(7.0系、7.1系)のバージョンでスケジュールアラートのcronの実行時刻を「0 9 15-21 * 1 」のように設定していた場合、最新版へのバージョンアップ後にアラートの実行時刻が変わります。 バージョンアップ前と同様に毎月15日〜21日の月曜日のAM9時にアラートを実行する場合はアラートの設定を以下のように変更します。 手順 SplunkWebにログインします。 <変更例> 以上
Splunk:第3フィールドと第5フィールドがAND条件で動作します。
15日〜21日 または 月曜日 と判断され、15日〜21日のAM9時と、毎週月曜日のAM9時に実行されます。
15日〜21日 かつ 月曜日 と判断され、15日〜21日の月曜日のAM9時に実行されます。
Linux・Splunk:第3フィールドと第5フィールドがOR条件で動作します。
5日〜21日 または 月曜日 と判断され、15日〜21日のAM9時と、毎週月曜日のAM9時に実行されます。
[設定]-[サーチ、レポート、アラート]画面に移動します。
対象アラートの編集画面を開き、サーチに判定条件を追加します。
・サーチ
(既存のサーチ文)| eval daynum=strftime(now(),"%d"),
| eval weekday=strftime(now(),"%a"),
| eval isThirdMonday=if(weekday=="Mon" AND daynum>14 AND daynum<22,"true","false" )
| search isThirdMonday="true"
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30
