sequence
Mit diesem Befehl können Sie nach Logdatensatzmustern in den Gruppen suchen, die mit dem Befehl link
identifiziert werden.
Syntax
sequence name = <name> [<sequence_options>] <match_rules> select <output_fields>
Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
Parameter | Beschreibung |
---|---|
|
Sequenzanzeigename |
|
Syntax:
|
|
Syntax:
|
|
Die Felder, die im Ergebnis zurückgegeben werden sollen Syntax: |
Mit dem folgenden Befehl wird nach 5 oder mehr fehlgeschlagenen Anmeldungen gefolgt von 1 oder mehr erfolgreichen Anmeldungen gesucht:
* | link Entity
| sequence name = 'Security Event' span = 5min [ 'Security Result' = failure ]{5,} then [ 'Security Result' = success ]{1,} select 'Source IP Address'
Der folgende Befehl gibt Sitzungsdetails zwischen zwei Ereignissen zurück:
* | link Account
| sequence name = 'User Session' between [ Action = login ]{1,} and [ Action = logout ]{1,} select Action, Entity