Rule: unknown with checkpoint log in Contributing Events – Incident Review – Enterprise Security APP

Cách xử lý:

Chọn dấu > để mở rộng event tìm thêm thông tin

Ở đây chúng ta có thể nhận thấy. Tại field rule được Checkpoint định nghĩa là số và tên rule thì được định nghĩa tại rule_name.



Tiếp theo, check lại field rule trong data model



Có thể nhận thấy, mặc định splunk chỉ define field rule không có rule_name. vì thế, khác với define với format log của Checkpoint

Đã tìm ra nguyên nhân, việc tiếp theo có thể giải quyết theo 2 cách:

• Thêm eval expression filelds vào dataset trong data model như sau

• Edit lại field rule với ý tưởng ưu tiên chọn field rule_name nếu không có tồn tại thì lấy giá trị của field rule

Tiếp theo save lại và kiểm tra (mất từ 1 – 2 phút để apply)




Ngoài ra, một số log của FW khác, file rule và rule_nam trên splunk đã đồng nhất nên không cần bị trường hợp như v


Kết quả thành công, chúc các bạn thành công.