手動サーチとアラート結果が異なる

ayato4713 · ‎05-29-2019

Lookup tableを使用して手動サーチを行った結果と、同様のサーチコマンド、検索範囲を使用してアラートメールを飛ばした際の結果が異なるのはなぜでしょうか。

tkomatsubara_sp · ‎08-23-2019

SplunkはUIからの動作も含めてすべてRESTで受けますので、Splunkから見てサーチ文そのものの違いはありません。
そのため、厳密にサーチの条件が完全に一致しているのであれば、ご指摘の現象は起こる可能性はありません。

Jobとしてサーチを処理しますので、Jobに渡されたサーチ文とその期間の範囲等を比較することで原因がわかる可能性があります。
また、limits.confにおける制限値が原因となって、若干の差異が発生しているかもしれません。
joinなどしていれば、その可能性も濃厚なのですが、いずれにせよ、job descriptionあるいはsearch.logにて原因がわかる可能性があります。

jawaharas · ‎05-29-2019

Can you share the search query you are using and structure of your CSV file?

melonman · ‎05-29-2019

@jawaharas がリクエストしているSearch Queryに加えて、手動サーチ実施時のサーチ時間範囲とアラートを仕掛けた際のサーチ時間範囲をいただければ、ヒントが見えてくると思います。

手動サーチとアラート結果が異なる

Tech Talk Recap | Mastering Threat Hunting

Observability for AI Applications: Troubleshooting Latency

Splunk AI Assistant for SPL vs. ChatGPT: Which One is Better?

Are you a member of the Splunk Community?

手動サーチとアラート結果が異なる

Tech Talk Recap | Mastering Threat Hunting

Observability for AI Applications: Troubleshooting Latency

Splunk AI Assistant for SPL vs. ChatGPT: Which One is Better?