sequence
Mit diesem Befehl können Sie in den mit dem Befehl link
identifizierten Gruppen nach Logdatensatzmustern suchen.
Syntax
sequence name = <name> [<sequence_options>] <match_rules> select <output_fields>
Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.
Parameter | Beschreibung |
---|---|
|
Sequenzanzeigename |
|
Syntax:
|
|
Syntax:
|
|
Die im Ergebnis zurückzugebenden Felder Syntax: |
Der folgende Befehl sucht nach 5 oder mehr nicht erfolgreichen Anmeldungen, gefolgt von 1 oder mehr erfolgreichen Anmeldungen:
* | link Entity
| sequence name = 'Security Event' span = 5min [ 'Security Result' = failure ]{5,} then [ 'Security Result' = success ]{1,} select 'Source IP Address'
Der folgende Befehl gibt Sessiondetails zwischen zwei Ereignissen zurück:
* | link Account
| sequence name = 'User Session' between [ Action = login ]{1,} and [ Action = logout ]{1,} select Action, Entity