1: 先看一下Splunk IDS 文档:
Splunk UBA category to Splunk CIM field mapping reference - Splunk Documentation
里面清楚的记录着哪些是必须字段:
2: 下面开始配这些字段SPL: 发现就是报如下的错:
3: 最后把tag 的字段增加:attack_ids 就可以了,
1: 先看一下Splunk IDS 文档:
Splunk UBA category to Splunk CIM field mapping reference - Splunk Documentation
里面清楚的记录着哪些是必须字段:
2: 下面开始配这些字段SPL: 发现就是报如下的错:
3: 最后把tag 的字段增加:attack_ids 就可以了,