Documentación de Oracle Cloud Infrastructure

Tabla principal

En la tabla de grupos se muestra el resultado del análisis mostrando los grupos y los valores correspondientes para los siguientes campos por defecto:

Más temas:

Columna Detalles

Campo(s)

Campo que se utiliza para analizar el grupo

Recuento

Número de registros de log en el grupo

Hora de inicio

Inicio del período de tiempo cuyos logs se tienen en cuenta para el análisis

Hora de finalización

Final del período de tiempo cuyos logs se tienen en cuenta para el análisis

Duración de grupo

Duración del evento de log para el grupo

Adición de URL a tabla de enlaces

Puede crear enlaces mediante la función url del comando eval.

Temas adicionales:

En la siguiente consulta, se asignan URL a los valores de Search 1, Search 2 y Search 3: 

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error')

Tabla de enlaces con los enlaces agregados mediante la función url en el comando eval

En el análisis anterior:

  • Ahora se puede hacer clic en Search 1, Search 2 y Search 3. Haga clic en el enlace para ver los resultados de búsqueda de esas palabras clave.

  • Search 2 no muestra la URL completa. En su lugar, el segundo parámetro de la función url se utiliza para asignar a la URL un nombre diferente, por ejemplo, Errors.

  • Search 3 es similar a Search 1, pero el acceso directo google se utiliza para generar la URL. En lugar de utilizar la URL completa, puede utilizar accesos directos similares.

Usar recorte corto de URL con nombre personalizado

Considere el siguiente ejemplo en el que se proporciona un nombre para el acceso directo:

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error') 
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')

Accesos directos definidos por Oracle: google y duckduckgo y sus nombres personalizados

En el ejemplo anterior, Search 4 es similar a Search 3, pero sólo difiere en el nombre proporcionado al acceso directo en Search 4. El acceso directo google tiene el nombre Search Using Google que se muestra en la tabla. En Search 5, el acceso directo duckduckgo tiene el nombre Search Using DuckDuckGo que se muestra en la tabla. Para obtener una lista completa de los accesos directos definidos por Oracle disponibles con la función url, consulte Cortes abreviados de URL definidos por Oracle.

Utilizar el acceso directo de CVE para enlazar a bases de datos de CVE

Utilice el acceso directo CVE en la función url para crear un enlace al repositorio de CVE. 

'Log Source' like '%Access Logs%' 
| link 'Client Host Continent' 
| addfields [ jndi | stats count as 'JNDI Count' ],
            [ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ] 
| eval 'Threat ID' = if('JNDI Count' > 0,       'CVE-2021-44228',
                        'GetContext Count' > 0, 'CVE-2013-2251',
                        null) 
| eval Description = if('JNDI Count' > 0,       'Log4j Vulnerability - ' || 'Threat ID',
                        'GetContext Count' > 0, 'Struts Exploit - '      || 'Threat ID',
                         null) 
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'

Método abreviado de CVE para enlazar a bases de datos de CVE

En el ejemplo anterior, la columna CVE enlaza al repositorio de CVE para el valor de cada continente de host de cliente de los logs de acceso.

Uso del acceso directo de OCID para enlazar automáticamente a recursos de OCI

Utilice el acceso directo ocid en la función url() para crear un enlace a una página relevante de OCI. Si el recurso tiene una página específica, la URL apunta al enlace directo. De lo contrario, la URL apuntaría a los resultados del servicio de consulta de recursos para ese OCID. 

'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and 
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'

Acceso directo de OCID para enlazar a recursos de OCI

En el ejemplo anterior, el OCID de cada tipo de recurso de OCI se selecciona de los logs de auditoría de OCI.

Ocultar, mostrar u ordenar las columnas de tabla

Utilice el comando fields target = ui para controlar los campos que se deben ocultar o mostrar en la tabla de grupos de enlaces. También puede utilizar este comando para controlar el orden de los campos.

Estos son algunos ejemplos:

Oculte todos los campos Time y ordene la tabla como Size, Log Source, Count:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time', Size, 'Log Source', Count

Igual que antes, pero utilizando varios comandos de campos:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time'
 | fields target = ui Size, 'Log Source', Count

La combinación de fields y fields target = ui (fields sin target = ui realiza el filtrado en el backend):

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields -'*Time'
 | fields target = ui Size, 'Log Source', Count

Cambio del alias de grupo

Cada fila de la tabla de enlaces se corresponde con un grupo. Puede cambiar el alias para el separador Grupo, Grupos y Registros de log.

En el menú Opciones, modifique los valores Alias de grupo, Alias de grupos y Alias de registros de log.

Alias de grupo se utiliza cuando solo hay un elemento en la tabla principal.

Unión de varios grupos con el comando map

Utilice el comando map para unir varios subgrupos de los grupos enlazados existentes. Resulta útil asignar un ID de sesión para eventos relacionados o para correlacionar eventos entre distintos servidores u orígenes de log.

Por ejemplo, con la siguiente consulta se unen eventos Sin memoria con otros eventos que estén dentro de los 30 minutos, y se coloran estos grupos para resaltar un contexto para la interrupción de Sin memoria: 

* | link Server, Label
  | createView [ *   | where Label = 'Out of Memory' 
                     | rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
  | sort Entity, 'Start Time'
  | map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and 
                    'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
            | eval Context = Yes 
        ] using 'Out of Memory Events'
  | highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
  | highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'

une eventos Sin memoria a otros eventos que no superen los 30 minutos

Consulte map.

Creación de subgrupos con el comando createview

Utilice el comando createview para crear subgrupos a partir de los grupos enlazados existentes. Esto se puede utilizar junto con el comando map para unir grupos.

Por ejemplo, puede agrupar todos los errores Sin memoria mediante el siguiente comando: 

* | link Entity, Label 
  | createView  [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'

Consulte createview.

Búsqueda y resaltado de grupos de enlaces

Utilice el comando highlightgroups para buscar una o más columnas en los resultados de Link y resaltar grupos específicos. Si lo desea, puede asignar una prioridad a las regiones resaltadas. La prioridad se utilizaría para colorear las regiones. También puede especificar explícitamente un color.

Por ejemplo:

* 
| link Label 
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ] 
| highlightgroups priority = high   [ * | where Label = 'Service Stopped' ] as Shutdown 
| highlightgroups color = #68C182   [ * | where Label = 'Service Started' ] as Startup

opciones de gráfico para seleccionar los grupos resaltados

Consulte highlightgroups.

Opcionalmente, puede fusionar las columnas resaltadas para crear una sola columna:


fusionar las columnas resaltadas para crear una sola columna