Documentazione dell'infrastruttura Oracle Cloud

Tabella principale

La tabella Gruppi visualizza il risultato dell'analisi elencando i gruppi e i valori corrispondenti per i seguenti campi predefiniti:

Altri argomenti:

Colonna Dettagli

Campo (s)

Il campo utilizzato per analizzare il gruppo

Conteggio

Numero di record di log nel gruppo

Ora di inizio

Inizio del periodo di tempo per il quale vengono considerati i log per l'analisi

Ora di fine

Fine del periodo di tempo per il quale vengono considerati i log per l'analisi

Durata gruppo

Durata dell'evento di log per il gruppo

Aggiungi URL a tabella collegamenti

È possibile creare collegamenti utilizzando la funzione url del comando eval.

Argomenti aggiuntivi:

Nella query riportata di seguito vengono assegnati gli URL Search 1, Search 2 e Search 3. 

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error')

Collega tabella con i collegamenti aggiunti utilizzando la funzione url nel comando eval

Nell'analisi precedente:

  • I campi Search 1, Search 2 e Search 3 sono ora selezionabili tramite clic. Fare clic sul collegamento per visualizzare i risultati della ricerca per tali parole chiave.

  • Search 2 non visualizza l'intero URL. Il secondo parametro della funzione url viene invece utilizzato per assegnare all'URL un nome diverso, ad esempio Errors.

  • Search 3 è simile a Search 1, ma il collegamento google viene utilizzato per generare l'URL. Invece di utilizzare l'intero URL, è possibile utilizzare collegamenti simili.

Usa URL breve con nome personalizzato

Si consideri l'esempio seguente in cui viene fornito un nome per il collegamento:

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error') 
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')

Tasti di scelta rapida definiti da Oracle google e duckduckgo e relativi nomi personalizzati

Nell'esempio precedente, Search 4 è simile a Search 3, ma differisce solo nel nome assegnato al collegamento in Search 4. Il collegamento google ha il nome Search Using Google che viene visualizzato nella tabella. In Search 5, il tasto di scelta rapida duckduckgo ha il nome Search Using DuckDuckGo visualizzato nella tabella. Per un elenco completo dei collegamenti definiti da Oracle disponibili con la funzione url, vedere Tasti brevi dell'URL definito da Oracle.

Utilizzare il collegamento CVE per collegare i database CVE

Utilizzare il collegamento CVE nella funzione url per creare un collegamento al repository CVE. 

'Log Source' like '%Access Logs%' 
| link 'Client Host Continent' 
| addfields [ jndi | stats count as 'JNDI Count' ],
            [ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ] 
| eval 'Threat ID' = if('JNDI Count' > 0,       'CVE-2021-44228',
                        'GetContext Count' > 0, 'CVE-2013-2251',
                        null) 
| eval Description = if('JNDI Count' > 0,       'Log4j Vulnerability - ' || 'Threat ID',
                        'GetContext Count' > 0, 'Struts Exploit - '      || 'Threat ID',
                         null) 
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'

Collegamento CVE ai database CVE

Nell'esempio precedente, la colonna CVE è collegata al repository CVE per il valore di ciascun continente host client da log degli accessi.

Utilizzare il collegamento OCID per collegarsi automaticamente alle risorse OCI

Utilizzare il tasto di scelta rapida ocid nella funzione url() per creare un collegamento a una pagina pertinente per OCI. Se la risorsa ha una pagina specifica, l'URL punterà al collegamento diretto. In caso contrario, l'URL punterà ai risultati del servizio di query risorsa per tale OCID. 

'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and 
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'

Collegamento OCID al collegamento alle risorse OCI

Nell'esempio precedente, l'OCID di ogni tipo di risorsa OCI viene prelevato dai log di audit OCI.

Nascondere, mostrare o ordinare le colonne della tabella

Utilizzare il comando fields target = ui per controllare i campi che devono essere nascosti o visualizzati nella tabella dei gruppi di collegamenti. È inoltre possibile utilizzare questo comando per controllare l'ordine dei campi.

Di seguito sono riportati alcuni esempi.

Nascondere tutti i campi Time, ordinare la tabella come Size, Log Source, Count:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time', Size, 'Log Source', Count

Come sopra, ma utilizzando più comandi di campo:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time'
 | fields target = ui Size, 'Log Source', Count

Combinazione di fields e fields target = ui (fields senza target = ui esegue il filtro nel backend):

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields -'*Time'
 | fields target = ui Size, 'Log Source', Count

Modifica alias gruppo

Ogni riga nella tabella collegamenti corrisponde a un gruppo. È possibile modificare l'alias per le schede Gruppo, Gruppi e Registra record.

Nel menu Opzioni, modificare i valori Alias gruppo, Alias gruppi e Alias record log.

L'opzione Alias gruppo viene utilizzata quando nella tabella principale è presente un solo elemento.

Join di più gruppi mediante il comando Mappa

Utilizzare il comando map per unire più sottogruppi dai gruppi collegati esistenti. È utile per assegnare un ID sessione per gli eventi correlati o per correlare gli eventi tra server o origini log diversi.

Ad esempio, la query riportata di seguito unisce gli eventi Out of Memory ad altri eventi che si trovano entro 30 minuti e li colora per evidenziare un contesto per l'indisponibilità di Out of Memory: 

* | link Server, Label
  | createView [ *   | where Label = 'Out of Memory' 
                     | rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
  | sort Entity, 'Start Time'
  | map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and 
                    'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
            | eval Context = Yes 
        ] using 'Out of Memory Events'
  | highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
  | highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'

unisce eventi Fuori memoria ad altri eventi entro 30 minuti

Vedere mappa.

Crea sottogruppi mediante il comando Crea vista

Utilizzare il comando createview per creare sottogruppi dai gruppi collegati esistenti. Può essere utilizzato insieme al comando map per unire i gruppi.

Ad esempio, è possibile raggruppare tutti gli errori Out of Memory utilizzando il comando seguente: 

* | link Entity, Label 
  | createView  [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'

Vedere createview.

Cerca e evidenzia gruppi di collegamenti

Utilizzare il comando highlightgroups per cercare una o più colonne nei risultati del collegamento ed evidenziare gruppi specifici. Facoltativamente, è possibile assegnare una priorità alle aree evidenziate. La priorità verrà utilizzata per colorare le regioni. È inoltre possibile specificare esplicitamente un colore.

Ad esempio:

* 
| link Label 
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ] 
| highlightgroups priority = high   [ * | where Label = 'Service Stopped' ] as Shutdown 
| highlightgroups color = #68C182   [ * | where Label = 'Service Started' ] as Startup

opzioni del grafico per selezionare i gruppi evidenziati

Vedere highlightgroups.

Facoltativamente, è possibile unire le colonne evidenziate per creare una singola colonna.


unire le colonne evidenziate per creare una singola colonna