Splunk Search

Suche alle user mit gleicher From: Adresse

tombar62
New Member

Hallo, kann ich alle user mit From=*@domain.de finden, bei denen folgende Bedingungen zutreffen *@domain.de> -> *@domain.de ?

Jan  7 07:03:28 10.5.2.80 amavis[1057]: (01057-11) Passed SPAMMY {RelayedTaggedInbound}, <vorname.nachname@domain.de> -> <vorname.nachname@domain.de>, Message-ID: <5C336A38.2070xxx@domain.de>, mail_id: zcRDpXdefO7b, Hits: 9.973, size: 5823, queued_as: EEA542C0037, 586 ms, Tests: [BAYES_50=0.5,BITCOIN_SPAM_02=2.499,BITCOIN_SPAM_07=1.5,BOGO_UNSURE=0.01,DATE_IN_FUTURE_06_12=1.947,HELO_MISC_IP=0.001,HTML_MESSAGE=0.001,NO_FM_NAME_IP_HOSTN=0.251,RDNS_NONE=0.1,SPF_SOFTFAIL=0.665,TO_EQ_FM_DIRECT_MX=2.499], From: <vorname.nachname@domain.de>
Tags (1)
0 Karma

martin_mueller
SplunkTrust
SplunkTrust

Ja - am Besten extrahierst du die beiden Teile vor/nach dem Pfeil in je ein Feld und suchst dann nach diesen beiden Feldern.
Sofern die Domains in beiden Feldern identisch sein sollen, müsstest du auch die Domain extrahieren und ein ... | where domain_1 = domain_2 hinter die initiale Suche packen.

0 Karma
Get Updates on the Splunk Community!

See just what you’ve been missing | Observability tracks at Splunk University

Looking to sharpen your observability skills so you can better understand how to collect and analyze data from ...

Weezer at .conf25? Say it ain’t so!

Hello Splunkers, The countdown to .conf25 is on-and we've just turned up the volume! We're thrilled to ...

How SC4S Makes Suricata Logs Ingestion Simple

Network security monitoring has become increasingly critical for organizations of all sizes. Splunk has ...