sequence

Mit diesem Befehl können Sie nach Logdatensatzmustern in den Gruppen suchen, die mit dem Befehl link identifiziert werden.

Syntax

sequence name = <name> [<sequence_options>] <match_rules> select <output_fields>

Parameter

In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.

Parameter Beschreibung

name

Sequenzanzeigename

sequence_options

Syntax: [field = <field_name>][span = <int><timescale>] [maxpause = <int><timescale>]

  • field: Zeitstempelfeld zum Sortieren der Logdatensätze. Wenn keine Angabe gemacht wird, wird Time verwendet.
  • span: Dauer für die Suche nach übereinstimmenden Logdatensätzen
  • maxpause: Maximaler Abstand zwischen zwei Logdatensätzen beim Durchführen von Übereinstimmungen
  • timescale: <sec> | <min> | <hour> | <day> | <week> | <mon>

    sec: Zulässige Werte für diesen Parameter sind s, sec, secs, second und seconds.

    min: Zulässige Werte für diesen Parameter sind m, min, mins, minute oder minutes.

    hour: Zulässige Werte für diesen Parameter sind h, hr, hrs, hour und hours.

    day: Zulässige Werte für diesen Parameter sind d, day und days.

    week: Zulässige Werte für diesen Parameter sind w, week und weeks.

    month: Zulässige Werte für diesen Parameter sind mon, month und months.

match_rules

Syntax: <match_rule> [then <match_rule> ...] | between <match_rule> and <match_rule>

match_rule: <subquery> { <min_match> [,<max_match>] }

  • subquery: Unterabfrage, die mit den Logdatensätzen übereinstimmt
  • min_match: Mindestanzahl der Übereinstimmungen
  • max_match: Maximale Anzahl Treffer

output_fields

Die Felder, die im Ergebnis zurückgegeben werden sollen

Syntax: <field_name> [as <new_name>]

Mit dem folgenden Befehl wird nach 5 oder mehr fehlgeschlagenen Anmeldungen gefolgt von 1 oder mehr erfolgreichen Anmeldungen gesucht:

* | link Entity
  | sequence name = 'Security Event' span = 5min [ 'Security Result' = failure ]{5,} then [ 'Security Result' = success ]{1,} select 'Source IP Address'

Der folgende Befehl gibt Sitzungsdetails zwischen zwei Ereignissen zurück:

* | link Account
  | sequence name = 'User Session' between [ Action = login ]{1,} and [ Action = logout ]{1,} select Action, Entity