Contexte :

Nous pouvons avoir besoin d’ajouter un alias comme par exemple dans le cas de la mise en place sur format CIM.

Prérequis :

Avoir un index peuplé, un sourcetype.
Dans cet exemple nous partirons avec un index peuplé de logs Fortinet, le sourcetype sera un sourcetype maison pour simplifier.

Les logs Fortigate du lab sont disponibles ICI.

Configuration

Déclaration du sourcetype

$ mkdir -p $SPLUNK_HOME/etc/apps/alasta-lab-TA-001/local/
$ vi $SPLUNK_HOME/etc/apps/alasta-lab-TA-001/local/props.conf

[alasta:forti]
SHOULD_LINEMERGE = false
LINE_BREAKER = ([\r\n]+)
TIME_PREFIX = date=
TIME_FORMAT = %Y-%m-%d time=%H:%M:%S
MAX_TIMESTAMP_LOOKAHEAD = 30
TRUNCATE = 1000000000000
KV_MODE = auto

##FIELDALIAS-<class> = <orig_field_name> AS <new_field_name>
##Un alias
FIELDALIAS-test1 = profile AS kikafekoi

##Possibilité de déclarer plusieurs alias en une ligne
FIELDALIAS-monalias = dstip AS madestinationip sn AS monsn

Note : est un namespace, il ne sera pas utilisé dans nos requêtes.

De base comme cela, ça ne va pas fonctionner, il faut déclarer les droits sur les alias au travers du fichier local.meta.

$ vi $SPLUNK_HOME/etc/apps/alasta-lab-TA-001/metadata/local.meta
# Application-level permissions

[]
access = read : [ * ], write : [ admin]
export = system

Déclaration du monitor

$ mkdir -p $SPLUNK_HOME/etc/apps/alasta-lab-001-input/local/
$ vi $SPLUNK_HOME/etc/apps/alasta-lab-001-input/local/inputs.conf

[monitor:///PATH/logs/fortigate.log]
disabled = 0
index = lab_fg01
host_regex = \/(\w+)\.log$
sourcetype = alasta:forti

Redémarrer Splunk puis aller intérroger vos données (contrairement à la production), mettez “all time” dans le timepicker car les logs ne sont pas récentes.

Requête pour vérifier l’alias madestinationip :

index="lab_fg01" madestinationip=*

Annexe :

Doc Officielle Alias