本人菜鸟一枚,请教下各位大佬,
splunk怎么查询连续请求了3天以上的IP有哪些?
而且firewallSource字段中有多个值,怎么能知道哪些IP在某时间段内的请求中同时存在WAF和RATE_LIMIT?
找了几天百度实在是没辙了,感谢!!!
index="starshield" source="http-requests" "firewallSource" IN ("WAF","RATE_LIMIT") "botscore"<10
| stats count values(client.ip) as ip,values(firewallSource) by client.ip,clientRequest.httpHost
相似问题