sequence

Mit diesem Befehl können Sie in den mit dem Befehl link identifizierten Gruppen nach Logdatensatzmustern suchen.

Syntax

sequence name = <name> [<sequence_options>] <match_rules> select <output_fields>

Parameter

In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.

Parameter Beschreibung

name

Sequenzanzeigename

sequence_options

Syntax: [field = <field_name>][span = <int><timescale>] [maxpause = <int><timescale>]

  • field: Zeitstempelfeld zum Sortieren der Logdatensätze. Wenn keine Angabe gemacht wird, wird Time verwendet.
  • span: Dauer für die Suche nach übereinstimmenden Logdatensätzen
  • maxpause: Maximaler Abstand zwischen zwei Logdatensätzen bei Übereinstimmungen
  • timescale: <sec> | <min> | <hour> | <day> | <week> | <mon>

    sec: Zu den zulässigen Werten für diesen Parameter gehören s, sec, secs, second und seconds.

    min: Zulässige Werte für diesen Parameter: m, min, mins, minute und minutes.

    hour: Zu den zulässigen Werten für diesen Parameter gehören h, hr, hrs, hour und hours.

    week: Zulässige Werte für diesen Parameter: w, week und weeks.

    month: Zulässige Werte für diesen Parameter: mon, month und months.

match_rules

Syntax: <match_rule> [then <match_rule> ...] | between <match_rule> and <match_rule>

match_rule: <subquery> { <min_match> [,<max_match>] }

  • subquery: Unterabfrage für den Abgleich mit den Logdatensätzen
  • min_match: Mindestanzahl an Übereinstimmungen
  • max_match: Maximale Anzahl an Übereinstimmungen

output_fields

Die im Ergebnis zurückzugebenden Felder

Syntax: <field_name> [as <new_name>]

Der folgende Befehl sucht nach 5 oder mehr nicht erfolgreichen Anmeldungen, gefolgt von 1 oder mehr erfolgreichen Anmeldungen:

* | link Entity
  | sequence name = 'Security Event' span = 5min [ 'Security Result' = failure ]{5,} then [ 'Security Result' = success ]{1,} select 'Source IP Address'

Der folgende Befehl gibt Sessiondetails zwischen zwei Ereignissen zurück:

* | link Account
  | sequence name = 'User Session' between [ Action = login ]{1,} and [ Action = logout ]{1,} select Action, Entity