Documentation Oracle Cloud Infrastructure

Table principale

La table des groupes affiche le résultat de l'analyse en répertoriant les groupes et les valeurs correspondantes pour les champs par défaut suivants :

Rubriques complémentaires :

Colonne Détails

Champ(s)

Champs utilisés pour analyser le groupe

Nombre

Nombre d'enregistrements de journal dans le groupe

Date et heure de début

Début de la période sur laquelle les journaux sont pris en compte pour l'analyse

Heure de fin

Fin de la période sur laquelle les journaux sont pris en compte pour l'analyse

Durée du groupe

Durée de l'événement de journal pour le groupe

Ajout d'URL à la table de liens

Vous pouvez créer des liens à l'aide de la fonction url de la commande eval.

Rubriques supplémentaires :

Dans la requête suivante, des URL sont affectées à Search 1, Search 2 et Search 3 : 

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error')

Table de liens avec les liens ajoutés à l'aide de la fonction url dans la commande eval

Dans l'analyse ci-dessus :

  • Search 1, Search 2 et Search 3 sont désormais des champs sur lesquels vous pouvez cliquer. Cliquez sur ce lien pour afficher les résultats de la recherche pour ces mots-clés.

  • Search 2 n'affiche pas l'URL entière. A la place, le deuxième paramètre de la fonction url est utilisé pour donner à l'URL un nom différent, par exemple, Errors.

  • Search 3 est similaire à Search 1, mais le raccourci google est utilisé pour générer l'URL. Au lieu d'utiliser l'URL entière, vous pouvez utiliser des raccourcis similaires.

Utiliser le raccourci d'URL avec le nom personnalisé

Prenons l'exemple suivant dans lequel un nom est fourni pour le raccourci :

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error') 
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')

Raccourcis définis par Oracle google et duckduckgo et leurs noms personnalisés

Dans l'exemple ci-dessus, Search 4 est similaire à Search 3, mais diffère uniquement du nom donné au raccourci dans Search 4. Le raccourci google porte le nom Search Using Google, qui est affiché dans la table. Dans Search 5, le raccourci duckduckgo porte le nom Search Using DuckDuckGo, qui est affiché dans la table. Pour obtenir la liste complète des raccourcis définis par Oracle disponibles avec la fonction url, reportez-vous à Raccourcis d'URL définis par Oracle.

Utiliser le raccourci CVE pour créer un lien vers les bases de données CVE

Utilisez le raccourci CVE de la fonction url pour créer un lien vers le référentiel CVE. 

'Log Source' like '%Access Logs%' 
| link 'Client Host Continent' 
| addfields [ jndi | stats count as 'JNDI Count' ],
            [ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ] 
| eval 'Threat ID' = if('JNDI Count' > 0,       'CVE-2021-44228',
                        'GetContext Count' > 0, 'CVE-2013-2251',
                        null) 
| eval Description = if('JNDI Count' > 0,       'Log4j Vulnerability - ' || 'Threat ID',
                        'GetContext Count' > 0, 'Struts Exploit - '      || 'Threat ID',
                         null) 
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'

Rappel CVE pour le lien vers les bases de données CVE

Dans l'exemple ci-dessus, la colonne CVE renvoie au référentiel CVE pour la valeur de chaque continent d'hôte client à partir des journaux d'accès.

Utiliser le raccourci OCID pour établir automatiquement un lien avec les ressources OCI

Utilisez le raccourci ocid dans la fonction url() pour créer un lien vers une page pertinente vers OCI. Si la ressource possède une page spécifique, l'URL pointe vers le lien direct. Sinon, l'URL pointe vers les résultats du service de requête de ressource pour cet OCID. 

'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and 
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'

Raccourci OCID à lier aux ressources OCI

Dans l'exemple ci-dessus, l'OCID de chaque type de ressource OCI est sélectionné dans les journaux d'audit OCI.

Masquer, afficher ou trier les colonnes du tableau

Utilisez la commande fields target = ui pour contrôler les champs qui doivent être masqués ou affichés dans la table des groupes de liens. Vous pouvez également utiliser cette commande pour contrôler l'ordre des champs.

Voici quelques exemples:

Masquez tous les champs Time, classez la table en Size, Log Source, Count :

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time', Size, 'Log Source', Count

Identique à ce qui précède, mais à l'aide de plusieurs commandes de champs :

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time'
 | fields target = ui Size, 'Log Source', Count

La combinaison de fields et de fields target = ui (fields sans target = ui effectue un filtrage dans le back-end) :

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields -'*Time'
 | fields target = ui Size, 'Log Source', Count

Modification de l'alias de groupe

Chaque ligne de la table de liens correspond à un groupe. Vous pouvez modifier l'alias pour les onglets Groupe, Groupes, et Enregistrements de journal.

Dans le menu Options, modifiez les valeurs Alias de groupe, Alias de groupe et Alias d'enregistrements de journal.

L'alias de groupe est utilisé lorsqu'un seul élément est présent dans la table principale.

Jointure de plusieurs groupes à l'aide de la commande map

Utilisez la commande map pour joindre plusieurs sous-groupes à partir des groupes liés existants. Cette opération est utile pour affecter un ID de session aux événements associés ou pour corréler les événements entre différents serveurs ou sources de journal.

Par exemple, la requête ci-dessous joint les événements de mémoire insuffisante aux autres événements sur une plage de 30 minutes avant et après, et colore ces groupes pour mettre en évidence le contexte de coupure pour cause de mémoire insuffisante : 

* | link Server, Label
  | createView [ *   | where Label = 'Out of Memory' 
                     | rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
  | sort Entity, 'Start Time'
  | map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and 
                    'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
            | eval Context = Yes 
        ] using 'Out of Memory Events'
  | highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
  | highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'

joint les événements de mémoire insuffisante aux autres événements sur une plage de 30 minutes avant et après

Reportez-vous à map.

Création de sous-groupes à l'aide de la commande createview

Utilisez la commande createview pour créer des sous-groupes à partir des groupes liés existants. Elle peut être utilisée conjointement avec la commande map pour joindre des groupes.

Par exemple, vous pouvez regrouper toutes les erreurs de mémoire insuffisante à l'aide de la commande suivante : 

* | link Entity, Label 
  | createView  [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'

Reportez-vous à createview.

Recherche et mise en évidence de groupes de liens

Utilisez la commande highlightgroups pour rechercher des colonnes dans les résultats Lien et mettre en évidence des groupes spécifiques. Vous pouvez éventuellement affecter une priorité aux régions mises en évidence. La priorité peut être utilisée pour définir la couleur appliquée aux régions. Vous pouvez également spécifier explicitement une couleur.

Par exemple :

* 
| link Label 
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ] 
| highlightgroups priority = high   [ * | where Label = 'Service Stopped' ] as Shutdown 
| highlightgroups color = #68C182   [ * | where Label = 'Service Started' ] as Startup

options de graphique permettant de sélectionner les groupes mis en évidence

Reportez-vous à highlightgroups.

Vous pouvez éventuellement fusionner les colonnes mises en évidence pour créer une seule colonne :


fusionner les colonnes mises en évidence pour créer une seule colonne