Skip to main content
Lanterna Home

Splunk Lantern

Investigação de consultas incomuns no sistema de ficheiros

  1. Last updated
  2. Save as PDF

A sua organização utiliza dados do NetFlow, que está a ingerir no Splunk. Estes dados mostram um punhado de máquinas a contactar através do HDFS (Hadoop Distributed File System) para o seu cluster do Hadoop, consultando aleatoriamente ficheiros específicos que não existem.

Dados requeridos

Apache: Hadoop

Para otimizar a pesquisa mostrada abaixo, deverá especificar um índice e um intervalo de tempo. Além disso, esta pesquisa de amostra utiliza o Tipo de origem do Hadoop Distributed File System . Pode substituir esta fonte por qualquer outra dados de registo do servidor utilizado na sua organização.

Procedimento

Um cliente Splunk executou a seguinte pesquisa: 

| protocol=hdfs response=404
| sort BY rare filename

Próximos passos

Depois de executar esta pesquisa, o cliente descobriu que as máquinas em questão tinham malware e estava a procurar documentos confidenciais com nomes como salary.xls e personal.doc. A solução de detecção e resposta de endpoint do cliente não detectou o malware. A execução desta pesquisa melhorou o tempo médio de resposta.

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.