由于SplunkUBAauditlog里面记录这个每个用户的登入情况，上面有具体的登入时间，还有操作命令等，所以这个日志对用户行为分析，还是不错的，例如，要是有哪个分析员删除了一个threat,就可以跟踪，下面说说怎么吧UBAauditlog送到SplunkES:PerformthefollowingtaskstosendauditeventstotheSplunkplatformtobeaddedtothe_auditindex.   1:Addorsettheuba.sys.audit.push.splunk.enabledpropertyinSplunkUBA.   2:Setupase