Oracle Cloud Infrastructure-Dokumentation

Haupttabelle

Die Gruppentabelle zeigt das Ergebnis der Analyse an, indem die Gruppen und die entsprechenden Werte für die folgenden Standardfelder aufgeführt werden:

Weitere Themen:

Spalte Details

Feld(er)

Das Feld zur Analyse der Gruppe

Anzahl

Die Anzahl der Logdatensätze in der Gruppe

Startzeit

Der Beginn des Zeitraums, für den die Logs für die Analyse berücksichtigt werden

Endzeit

Das Ende des Zeitraums, für den die Logs für die Analyse berücksichtigt werden

Gruppendauer

Die Dauer des Logereignisses für die Gruppe

URLs zu Linktabelle hinzufügen

Sie können Links mit der Funktion url des Befehls eval erstellen.

Weitere Themen:

In der folgenden Abfrage werden den Werten für Search 1, Search 2 und Search 3 URLs zugewiesen: 

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error')

Linktabelle mit den Links, die mit der url-Funktion im eval-Befehl hinzugefügt wurden

In der oben genannten Analyse:

  • Search 1, Search 2 und Search 3 sind jetzt klickbare Felder. Klicken Sie auf den Link, um die Suchergebnisse für diese Schlüsselwörter anzuzeigen.

  • Search 2 zeigt nicht die gesamte URL an. Stattdessen wird der zweite Parameter in der Funktion url verwendet, um der URL einen anderen Namen zu geben, z.B. Errors.

  • Search 3 ähnelt Search 1, aber mit der Verknüpfung google wird die URL generiert. Anstatt die gesamte URL zu verwenden, können Sie ähnliche Verknüpfungen verwenden.

URL-Kurzausschnitt mit benutzerdefiniertem Namen verwenden

Im folgenden Beispiel wird ein Name für die Verknüpfung angegeben:

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error') 
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')

Von Oracle definierte Shortcuts google und duckduckgo und ihre benutzerdefinierten Namen

Im obigen Beispiel ähnelt Search 4 Search 3, unterscheidet sich jedoch nur im Namen der Verknüpfung in Search 4. Die Verknüpfung google hat den Namen Search Using Google, der in der Tabelle angezeigt wird. In Search 5 hat die Verknüpfung duckduckgo den Namen Search Using DuckDuckGo, der in der Tabelle angezeigt wird. Eine vollständige Liste der von Oracle definierten Shortcuts, die mit der Funktion url verfügbar sind, finden Sie unter Von Oracle definierte URL-Short-Cuts.

CVE-Shortcut zum Verknüpfen mit CVE-Datenbanken verwenden

Verwenden Sie die Verknüpfung CVE in der Funktion url, um einen Link zum CVE-Repository zu erstellen. 

'Log Source' like '%Access Logs%' 
| link 'Client Host Continent' 
| addfields [ jndi | stats count as 'JNDI Count' ],
            [ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ] 
| eval 'Threat ID' = if('JNDI Count' > 0,       'CVE-2021-44228',
                        'GetContext Count' > 0, 'CVE-2013-2251',
                        null) 
| eval Description = if('JNDI Count' > 0,       'Log4j Vulnerability - ' || 'Threat ID',
                        'GetContext Count' > 0, 'Struts Exploit - '      || 'Threat ID',
                         null) 
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'

CVE-Shortcut zum Verknüpfen mit CVE-Datenbanken

Im obigen Beispiel wird in der CVE-Spalte ein Link zum CVE-Repository für den Wert jedes Clienthostkontinents aus den Zugriffslogs angezeigt.

OCID-Shortcut zum automatischen Verknüpfen mit OCI-Ressourcen verwenden

Verwenden Sie den ocid-Shortcut in der url()-Funktion, um einen Link zu einer relevanten Seite zu OCI zu erstellen. Wenn die Ressource eine bestimmte Seite hat, verweist die URL auf den direkten Link. Andernfalls verweist die URL auf die Ergebnisse des Ressourcenabfrageservice für diese OCID. 

'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and 
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'

OCID-Shortcut zum Verknüpfen mit OCI-Ressourcen

Im obigen Beispiel wird die OCID jedes OCI-Ressourcentyps aus den OCI-Auditlogs abgerufen.

Tabellenspalten ausblenden, anzeigen oder sortieren

Verwenden Sie den Befehl fields target = ui, um die Felder zu steuern, die in der Tabelle der Linkgruppen ausgeblendet oder angezeigt werden sollen. Mit diesem Befehl können Sie auch die Reihenfolge der Felder steuern.

Hier einige Beispiele:

Blenden Sie alle Time-Felder aus, und ordnen Sie die Tabelle als Size, Log Source, Count an:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time', Size, 'Log Source', Count

Wie oben, aber mit mehreren Feldbefehlen:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time'
 | fields target = ui Size, 'Log Source', Count

Kombination aus fields und fields target = ui (fields ohne target = ui filtert im Backend):

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields -'*Time'
 | fields target = ui Size, 'Log Source', Count

Gruppenalias ändern

Jede Zeile in der Linktabelle entspricht einer Gruppe. Sie können den Alias für das Register Gruppe, Gruppen und Logdatensätze ändern.

Ändern Sie im Menü Optionen die Werte Gruppenalias, Gruppenalias und Logdatensatzalias.

Der Gruppenalias wird verwendet, wenn nur ein Element in der Haupttabelle vorhanden ist.

Mehrere Gruppen mit dem Befehl "map" verknüpfen

Mit dem Befehl map können Sie mehrere Untergruppen aus den vorhandenen verknüpften Gruppen verknüpfen. Das ist nützlich, um eine Session-ID für zugehörige Ereignisse zuzuweisen oder Ereignisse über verschiedene Server oder Logquellen hinweg zu korrelieren.

Beispiel: Die folgende Abfrage verknüpft Out of Memory-Ereignisse mit anderen Ereignissen, die innerhalb von 30 Minuten auftreten, und färbt diese Gruppen, um einen Kontext für den Out of Memory-Ausfall hervorzuheben: 

* | link Server, Label
  | createView [ *   | where Label = 'Out of Memory' 
                     | rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
  | sort Entity, 'Start Time'
  | map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and 
                    'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
            | eval Context = Yes 
        ] using 'Out of Memory Events'
  | highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
  | highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'

Verknüpft Out of Memory-Ereignisse mit anderen Ereignissen, die innerhalb von 30 Minuten auftreten.

Siehe map.

Untergruppen mit dem Befehl "createview" erstellen

Verwenden Sie den Befehl createview, um Untergruppen aus den vorhandenen verknüpften Gruppen zu erstellen. Sie können diesen Befehl zusammen mit dem Befehl map zum Verknüpfen von Gruppen verwenden.

Beispiel: Sie können alle Out of Memory-Fehler mit dem folgenden Befehl gruppieren: 

* | link Entity, Label 
  | createView  [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'

Siehe createview.

Linkgruppen suchen und hervorheben

Verwenden Sie den Befehl highlightgroups, um Spalten in den Linkergebnissen zu suchen und bestimmte Gruppen hervorzuheben. Sie können den hervorgehobenen Bereichen optional eine Priorität zuweisen. Die Priorität wird zum Färben der Bereiche verwendet. Sie können auch explizit eine Farbe angeben.

Beispiel:

* 
| link Label 
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ] 
| highlightgroups priority = high   [ * | where Label = 'Service Stopped' ] as Shutdown 
| highlightgroups color = #68C182   [ * | where Label = 'Service Started' ] as Startup

Diagrammoptionen zur Auswahl der hervorgehobenen Gruppen

Siehe highlightgroups.

Optional können Sie die hervorgehobenen Spalten zusammenführen, um eine einzelne Spalte zu erstellen:


Hervorgehobene Spalten zusammenführen, um eine einzelne Spalte zu erstellen