「我想到一件事，你什麼時候學的Splunk?」

小路這個是什麼問題? 我們不是一起去上的課嗎?

『我們去上課的時候，你不是坐在我旁邊，你忘了?』

「我的意思是，我們只有去學安裝和管理，沒有學到Dashboard，更不用提你那個什麼一目了然的Dashboard，那個是你做出來的?」

『是啊，是我做出來的啊!』

「裡面的Splunk語法，都是你用鍵盤毃出來的?」

我看了看他...又再懷疑我了。

『你是不是覺得像我這麼懶的人，不會敲鍵盤啊?』

「那我問你，QRadar的搜尋語言叫AQL，Defender裡面的那個搜尋語言叫KQL，Splunk的搜尋語言名稱是?」

『我需要知道嗎? 你覺得我會知道嗎? 』

他那眼神還是不相信我的話。

『你不知道有個東西叫Google 搜尋嗎? 你去Google上搜尋，就能找到很多範例啊，然後只需要敲鍵盤上的Ctrl鍵 跟 一些 C鍵，V鍵和Enter鍵，Dashboard就完成了。』

「這不行吧...不用調整嗎，最基本的Splunk搜尋語言的index總要宣告吧?」

『小路，成年人不做選擇，全要就對了，index=* 就可以了，宣告什麼?』

「天啊! 那是我們Production環境的正式系統耶，你是......你怎麼可以這樣? 你老闆都不管你的嗎?」

『Anderson哦? 有啊，他講了我好多次，沒差啦，別擔心這個。而且你擔心這個幹嘛，想一下要不要去看無限城比較重要啦。』

「我被你困在這個Splunk無限裡，已經不想看無限城了。我自己去跟主管報告好了，你先回去吧，我擔心你再進到那個會議室，被我主管轟出來...」

『小路啊，你知道我老闆是誰嗎? Anderson耶，你們有錢集團會長的孫子耶，沒事啦......』

「我一個小小的職員，被你這樣一搞，現在只希望今年的KPI可以達標，麻煩你不要再管無限城了，管一下Splunk吧，你那個Dashboard不行啦，要調整一下啦。」

『還要調整哦，我做的這麼好，一目了然，你要我重做?』

「不是啊，現在Splunk是不是當機了? 一目了然沒有用啊，要能執行啊。」

『就說能執行啊，但你們硬體規格要好啊! 螢幕要夠大啊!』

「算了算了，我回去跟主管報告一下，你先回去吧，我再跟你約，Splunk的事情還要繼續處理。」

(待)

2025/08/26 SunAllen

註：

Splunk index=* 
同等於 資料庫select * from *

CISSP Domain 對應
Domain 1 – Security and Risk Management
在正式環境直接使用 index=* 風險容忍度過高，違反安全政策與治理原則

Domain 2 – Asset Security
查詢未做分類與限制 缺乏資料分類與存取控制，影響敏感資產保護

Domain 6 – Security Assessment and Testing
缺乏測試與驗證，直接套用範例語法 測試與正式環境未分隔，缺少查詢正確性檢驗

Domain 7 – Security Operations
查詢導致系統資源耗盡 影響可用性與營運持續性，屬於營運事件