Splunk:如何过滤防火墙日志中的源和目标 IP 地址
Splunk: How to filter Source and Destination IP Addresses in firewall log
假设我有以下内容:
源 IP 地址,10.1.1.1 & 192.168.1.1
目标 IP 地址172.16.1.1
为此组合搜索防火墙日志的正确语法是什么?
这是正确的语法吗?我试过了,但没有得到结果。我也尝试过不同的组合,但都没有用。
index=firewall src_ip=10.1.1.1 or src_ip=192.168.1.1 and
dest_ip=172.16.1.1
你很接近。像在数学中一样使用括号,记住布尔运算符必须大写。试试这个:
index=firewall (src_ip=10.1.1.1 OR src_ip=192.168.1.1) AND dest_ip=172.16.1.1
假设我有以下内容:
源 IP 地址,10.1.1.1 & 192.168.1.1
目标 IP 地址172.16.1.1
为此组合搜索防火墙日志的正确语法是什么?
这是正确的语法吗?我试过了,但没有得到结果。我也尝试过不同的组合,但都没有用。
index=firewall src_ip=10.1.1.1 or src_ip=192.168.1.1 and dest_ip=172.16.1.1
你很接近。像在数学中一样使用括号,记住布尔运算符必须大写。试试这个:
index=firewall (src_ip=10.1.1.1 OR src_ip=192.168.1.1) AND dest_ip=172.16.1.1