Oracle Cloud Infrastructure-Dokumentation

Haupttabelle

Die Gruppentabelle zeigt das Ergebnis der Analyse an, indem die Gruppen und die entsprechenden Werte für die folgenden Standardfelder aufgeführt werden:

Weitere Themen:

Spalte Details

Feld(er)

Das Feld zur Analyse der Gruppe

Anzahl

Die Anzahl der Logdatensätze in der Gruppe

Startzeit

Der Beginn des Zeitraums, für den die Logs für die Analyse berücksichtigt werden

Endzeit

Das Ende des Zeitraums, für den die Logs für die Analyse berücksichtigt werden

Gruppendauer

Die Dauer des Logereignisses für die Gruppe

URLs zu Linktabelle hinzufügen

Sie können Links mit der Funktion url des Befehls eval erstellen.

Weitere Themen:

In der folgenden Abfrage werden den Werten für Search 1, Search 2 und Search 3 URLs zugewiesen: 

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error')

Linktabelle mit den Links, die mit der url-Funktion im eval-Befehl hinzugefügt wurden

In der obigen Analyse:

  • Search 1, Search 2 und Search 3 sind jetzt klickbare Felder. Klicken Sie auf den Link, um die Suchergebnisse für diese Schlüsselwörter anzuzeigen.

  • Search 2 zeigt nicht die gesamte URL an. Stattdessen wird der zweite Parameter in der Funktion url verwendet, um der URL einen anderen Namen zu geben, z.B. Errors.

  • Search 3 ähnelt Search 1, aber der Shortcut google wird zum Generieren der URL verwendet. Anstatt die gesamte URL zu verwenden, können Sie ähnliche Tastenkombinationen verwenden.

URL-Short-Cut mit benutzerdefiniertem Namen verwenden

Betrachten Sie das folgende Beispiel, bei dem ein Name für den Shortcut angegeben wird:

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error') 
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')

Von Oracle definierte Shortcuts google und duckduckgo und ihre benutzerdefinierten Namen

Im obigen Beispiel ähnelt Search 4 Search 3, unterscheidet sich jedoch nur in dem Namen, der dem Shortcut in Search 4 zugewiesen wurde. Der Shortcut google hat den Namen Search Using Google, der in der Tabelle angezeigt wird. In Search 5 hat der Shortcut duckduckgo den Namen Search Using DuckDuckGo, der in der Tabelle angezeigt wird. Eine vollständige Liste der von Oracle definierten Shortcuts, die mit der Funktion url verfügbar sind, finden Sie unter Von Oracle definierte Shortcuts für URLs.

CVE-Shortcut zum Verknüpfen mit CVE-Datenbanken verwenden

Verwenden Sie den Shortcut CVE in der Funktion url, um einen Link zum CVE-Repository zu erstellen. 

'Log Source' like '%Access Logs%' 
| link 'Client Host Continent' 
| addfields [ jndi | stats count as 'JNDI Count' ],
            [ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ] 
| eval 'Threat ID' = if('JNDI Count' > 0,       'CVE-2021-44228',
                        'GetContext Count' > 0, 'CVE-2013-2251',
                        null) 
| eval Description = if('JNDI Count' > 0,       'Log4j Vulnerability - ' || 'Threat ID',
                        'GetContext Count' > 0, 'Struts Exploit - '      || 'Threat ID',
                         null) 
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'

CVE-Shortcut zum Link zu CVE-Datenbanken

Im obigen Beispiel verknüpft die CVE-Spalte mit dem CVE-Repository für den Wert jedes Clienthostkontinents aus den Zugriffslogs.

Mit der OCID-Verknüpfung automatisch mit OCI-Ressourcen verknüpfen

Verwenden Sie den ocidshort-cut in der url()-Funktion, um einen Link zu einer relevanten Seite zu OCI zu erstellen. Wenn die Ressource über eine bestimmte Seite verfügt, verweist die URL auf den direkten Link. Andernfalls verweist die URL auf die Ergebnisse des Ressourcenabfrageservice für diese OCID. 

'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and 
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'

OCID-Shortcut zum Link zu OCI-Ressourcen

Im obigen Beispiel wird die OCID jedes OCI-Ressourcentyps aus den OCI-Auditlogs abgerufen.

Tabellenspalten ausblenden, anzeigen oder anordnen

Verwenden Sie den Befehl fields target = ui, um die Felder zu steuern, die in der Tabelle der Linkgruppen ausgeblendet oder angezeigt werden sollen. Mit diesem Befehl können Sie auch die Reihenfolge der Felder steuern.

Hier einige Beispiele:

Blenden Sie alle Time-Felder aus, und ordnen Sie die Tabelle als Size, Log Source, Count an:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time', Size, 'Log Source', Count

Wie oben, jedoch mit Befehlen für mehrere Felder:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time'
 | fields target = ui Size, 'Log Source', Count

Durch die Kombination von fields und fields target = ui (fields ohne target = ui wird im Backend gefiltert):

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields -'*Time'
 | fields target = ui Size, 'Log Source', Count

Gruppenalias ändern

Jede Zeile in der Linktabelle entspricht einer Gruppe. Sie können den Alias für die Registerkarten Gruppe, Gruppen, und Logdatensätze ändern.

Ändern Sie im Menü Optionen die Werte Gruppenalias, Gruppenalias und Logdatensatzalias.

Der Gruppenalias wird verwendet, wenn nur ein Element in der Haupttabelle vorhanden ist.

Mehrere Gruppen mit dem Befehl "map" verknüpfen

Mit dem Befehl map können Sie mehrere Untergruppen aus den vorhandenen verknüpften Gruppen verknüpfen. Das ist nützlich, um eine Session-ID für zugehörige Ereignisse zuzuweisen oder Ereignisse über verschiedene Server oder Logquellen hinweg zu korrelieren.

Beispiel: Die folgende Abfrage verknüpft Out of Memory-Ereignisse mit anderen Ereignissen, die innerhalb von 30 Minuten auftreten, und färbt diese Gruppen, um einen Kontext für den Out of Memory-Ausfall hervorzuheben: 

* | link Server, Label
  | createView [ *   | where Label = 'Out of Memory' 
                     | rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
  | sort Entity, 'Start Time'
  | map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and 
                    'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
            | eval Context = Yes 
        ] using 'Out of Memory Events'
  | highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
  | highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'

Verknüpft Out of Memory-Ereignisse mit anderen Ereignissen, die innerhalb von 30 Minuten auftreten.

Siehe map.

Untergruppen mit dem Befehl "createview" erstellen

Verwenden Sie den Befehl createview, um Untergruppen aus den vorhandenen verknüpften Gruppen zu erstellen. Sie können diesen Befehl zusammen mit dem Befehl map zum Verknüpfen von Gruppen verwenden.

Beispiel: Sie können alle Out of Memory-Fehler mit dem folgenden Befehl gruppieren: 

* | link Entity, Label 
  | createView  [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'

Siehe createview.

Linkgruppen suchen und hervorheben

Verwenden Sie den Befehl highlightgroups, um Spalten in den Linkergebnissen zu suchen und bestimmte Gruppen hervorzuheben. Sie können den hervorgehobenen Bereichen optional eine Priorität zuweisen. Die Priorität wird zum Färben der Bereiche verwendet. Sie können auch explizit eine Farbe angeben.

Beispiel:

* 
| link Label 
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ] 
| highlightgroups priority = high   [ * | where Label = 'Service Stopped' ] as Shutdown 
| highlightgroups color = #68C182   [ * | where Label = 'Service Started' ] as Startup

Diagrammoptionen zur Auswahl der hervorgehobenen Gruppen

Siehe highlightgroups.

Optional können Sie die hervorgehobenen Spalten zusammenführen, um eine einzelne Spalte zu erstellen:


Hervorgehobene Spalten zusammenführen, um eine einzelne Spalte zu erstellen