Documentation sur Oracle Cloud Infrastructure

Table principale

La table des groupes affiche le résultat de l'analyse en indiquant les groupes et les valeurs correspondantes pour les champs par défaut suivants :

Autres rubriques :

Colonne Détails

Champ(s)

Champ utilisé pour analyser le groupe

Nombre

Nombre d'enregistrements de journaux dans le groupe

Date et heure de début

Début de la période pour laquelle les journaux sont pris en compte pour l'analyse

Heure de fin

Fin de la période pour laquelle les journaux sont pris en compte pour l'analyse

Durée de groupe

Durée de l'événement de journal pour le groupe

Ajouter des URL à la table Link

Vous pouvez créer des liens à l'aide de la fonction url de la commande eval.

Rubriques supplémentaires :

Dans l'interrogation suivante, des URL sont affectées aux valeurs pour Search 1, Search 2 et Search 3 : 

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error')

Table Link avec les liens ajoutés à l'aide de la fonction url dans la commande eval

Dans l'analyse ci-dessus :

  • Search 1, Search 2 et Search 3 sont maintenant des champs cliquables. Cliquez sur le lien pour afficher les résultats de recherche de ces mots clés.

  • Search 2 n'affiche pas l'URL complète. À la place, le deuxième paramètre de la fonction url est utilisé pour donner à l'URL un nom différent, par exemple Errors.

  • Search 3 est similaire à Search 1, mais le raccourci google est utilisé pour générer l'URL. Au lieu d'utiliser l'URL entière, vous pouvez utiliser des raccourcis similaires.

Utiliser une URL abrégée avec un nom personnalisé

Prenons l'exemple suivant où un nom est fourni pour le raccourci :

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error') 
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')

Raccourcis définis par Oracle google et canckduckgo et leurs noms personnalisés

Dans l'exemple ci-dessus, Search 4 est similaire à Search 3, mais diffère uniquement du nom donné au raccourci dans Search 4. Le raccourci google porte le nom Search Using Google qui est affiché dans la table. Dans Search 5, le raccourci duckduckgo porte le nom Search Using DuckDuckGo qui est affiché dans la table. Pour obtenir la liste complète des raccourcis définis par Oracle disponibles avec la fonction url, voir Raccourcis d'URL définis par Oracle.

Utiliser le raccourci CVE pour lier des bases de données CVE

Utilisez le raccourci CVE de la fonction url pour créer un lien vers le référentiel CVE. 

'Log Source' like '%Access Logs%' 
| link 'Client Host Continent' 
| addfields [ jndi | stats count as 'JNDI Count' ],
            [ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ] 
| eval 'Threat ID' = if('JNDI Count' > 0,       'CVE-2021-44228',
                        'GetContext Count' > 0, 'CVE-2013-2251',
                        null) 
| eval Description = if('JNDI Count' > 0,       'Log4j Vulnerability - ' || 'Threat ID',
                        'GetContext Count' > 0, 'Struts Exploit - '      || 'Threat ID',
                         null) 
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'

Raccourci CVE pour lier des bases de données CVE

Dans l'exemple ci-dessus, la colonne CVE est liée au référentiel CVE pour la valeur de chaque continent hôte client provenant des journaux d'accès.

Utiliser le raccourci OCID pour lier automatiquement les ressources OCI

Utilisez la coupe abrégée ocid dans la fonction url() pour créer un lien vers une page pertinente pour OCI. Si la ressource a une page spécifique, l'URL pointe vers le lien direct. Sinon, l'URL pointe vers les résultats du service d'interrogation de ressource pour cet OCID. 

'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and 
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'

Raccourci OCID vers Lien vers les ressources OCI

Dans l'exemple ci-dessus, l'OCID de chaque type de ressource OCI est prélevé dans les journaux de vérification OCI.

Masquer, afficher ou trier les colonnes de la table

Utilisez la commande fields target = ui pour contrôler les champs qui doivent être masqués ou affichés dans la table des groupes de liens. Vous pouvez également utiliser cette commande pour contrôler l'ordre des champs.

Voici quelques exemples :

Masquez tous les champs Time, triez la table comme Size, Log Source, Count :

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time', Size, 'Log Source', Count

Identique à ce qui précède, mais en utilisant plusieurs commandes de champs :

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time'
 | fields target = ui Size, 'Log Source', Count

La combinaison de fields et de fields target = ui (fields sans target = ui effectue un filtrage dans le système dorsal) :

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields -'*Time'
 | fields target = ui Size, 'Log Source', Count

Modifier l'alias de groupe

Chaque rangée de la table Link correspond à un groupe. Vous pouvez modifier l'alias des onglets Groupe, Groupes et Enregistrements de journal.

Dans le menu Options, modifiez les valeurs Alias de groupe, Alias de groupes et Alias d'enregistrements de journaux.

L'Alias de groupe est utilisé lorsqu'il n'y a qu'un seul élément dans la table principale.

Joindre plusieurs groupes à l'aide de la commande Map

Utilisez la commande map pour joindre plusieurs sous-groupes à partir des groupes liés existants. Cela est utile pour affecter un ID session aux événements associés ou pour corréler des événements entre différents serveurs ou sources de journaux.

Par exemple, l'interrogation ci-dessous joint les événements de mémoire insuffisante à d'autres événements qui se situent à moins de 30 minutes et colore ces groupes pour mettre en évidence un contexte de panne de mémoire insuffisante : 

* | link Server, Label
  | createView [ *   | where Label = 'Out of Memory' 
                     | rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
  | sort Entity, 'Start Time'
  | map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and 
                    'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
            | eval Context = Yes 
        ] using 'Out of Memory Events'
  | highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
  | highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'

joint les événements Mémoire insuffisante à d'autres événements qui se situent à moins de 30 minutes

Voir map.

Créer des sous-groupes à l'aide de la commande Createview

Utilisez la commande createview pour créer des sous-groupes à partir des groupes liés existants. Vous pouvez l'utiliser conjointement avec la commande map pour joindre des groupes.

Par exemple, vous pouvez regrouper toutes les erreurs de mémoire insuffisante à l'aide de la commande suivante : 

* | link Entity, Label 
  | createView  [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'

Voir createview.

Rechercher et mettre en évidence les groupes Link

Utilisez la commande highlightgroups pour rechercher une ou plusieurs colonnes dans les résultats Link et mettre en évidence des groupes spécifiques. Vous pouvez éventuellement affecter une priorité aux régions mises en évidence. La priorité sera utilisée pour colorer les régions. Vous pouvez également indiquer explicitement une couleur.

Par exemple :

* 
| link Label 
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ] 
| highlightgroups priority = high   [ * | where Label = 'Service Stopped' ] as Shutdown 
| highlightgroups color = #68C182   [ * | where Label = 'Service Started' ] as Startup

options de graphique pour sélectionner les groupes mis en évidence

Voir highlightgroups.

Vous pouvez éventuellement fusionner les colonnes mises en évidence pour créer une seule colonne :


fusionner les colonnes mises en évidence pour créer une seule colonne