Documentazione dell'infrastruttura Oracle Cloud

Tabella principale

La tabella Gruppi visualizza il risultato dell'analisi elencando i gruppi e i valori corrispondenti per i seguenti campi predefiniti:

Altri argomenti:

Colonna Dettagli

Campo (s)

Il campo utilizzato per analizzare il gruppo

Conteggio

Il numero di record di log nel gruppo

Ora di avvio

Inizio del periodo di tempo per il quale i log vengono considerati per l'analisi

Ora di fine

Fine del periodo di tempo per il quale i log vengono considerati per l'analisi

Durata gruppo

Durata dell'evento di log per il gruppo

Aggiungi URL a tabella collegamenti

È possibile creare collegamenti utilizzando la funzione url del comando eval.

Argomenti aggiuntivi:

Nella query seguente, ai valori per Search 1, Search 2 e Search 3 vengono assegnati gli URL: 

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error')

Tabella collegamenti con i collegamenti aggiunti mediante la funzione URL nel comando eval

Nell'analisi di cui sopra:

  • I campi Search 1, Search 2 e Search 3 sono ora selezionabili con un clic. Fare clic sul collegamento per visualizzare i risultati della ricerca per tali parole chiave.

  • Search 2 non visualizza l'intero URL. Il secondo parametro della funzione url viene invece utilizzato per assegnare all'URL un nome diverso, ad esempio Errors.

  • Search 3 è simile a Search 1, ma per generare l'URL viene utilizzato il collegamento google. Anziché utilizzare l'intero URL, è possibile utilizzare collegamenti simili.

Usa abbreviazione URL con nome personalizzato

Si consideri il seguente esempio in cui viene fornito un nome per il collegamento:

'Log Source' = 'Database Alert Logs' 
| link cluster() 
| where 'Potential Issue' = '1' 
| nlp keywords('Cluster Sample') as 'Database Error' 
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error') 
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors) 
| eval 'Search 3' = url(google, 'Database Error') 
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')

Scorciatoie definite da Oracle google e duckduckgo e relativi nomi personalizzati

Nell'esempio precedente, Search 4 è simile a Search 3, ma differisce solo dal nome assegnato al collegamento in Search 4. Il collegamento google ha il nome Search Using Google visualizzato nella tabella. In Search 5, il collegamento duckduckgo ha il nome Search Using DuckDuckGo visualizzato nella tabella. Per un elenco completo dei collegamenti definiti da Oracle disponibili con la funzione url, vedere Tagli di scelta rapida dell'URL definito da Oracle.

Utilizzare il collegamento CVE per collegarsi ai database CVE

Per creare un collegamento al repository CVE, utilizzare il collegamento CVE nella funzione url. 

'Log Source' like '%Access Logs%' 
| link 'Client Host Continent' 
| addfields [ jndi | stats count as 'JNDI Count' ],
            [ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ] 
| eval 'Threat ID' = if('JNDI Count' > 0,       'CVE-2021-44228',
                        'GetContext Count' > 0, 'CVE-2013-2251',
                        null) 
| eval Description = if('JNDI Count' > 0,       'Log4j Vulnerability - ' || 'Threat ID',
                        'GetContext Count' > 0, 'Struts Exploit - '      || 'Threat ID',
                         null) 
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'

Collegamento CVE al collegamento ai database CVE

Nell'esempio precedente, la colonna CVE si collega al repository CVE per il valore di ogni continente host client dal log degli accessi.

Utilizzare il collegamento OCID per collegarsi automaticamente alle risorse OCI

Utilizzare il collegamento ocid nella funzione url() per creare un collegamento a una pagina pertinente per OCI. Se la risorsa dispone di una pagina specifica, l'URL punterà al collegamento diretto. In caso contrario, l'URL punterà ai risultati del servizio query risorse per tale OCID. 

'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and 
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'

Collegamento OCID per collegarsi alle risorse OCI

Nell'esempio precedente, l'OCID di ogni tipo di risorsa OCI viene prelevato dai log di audit OCI.

Nascondere, mostrare o ordinare le colonne della tabella

Utilizzare il comando fields target = ui per controllare i campi che devono essere nascosti o visualizzati nella tabella dei gruppi di collegamenti. È inoltre possibile utilizzare questo comando per controllare l'ordine dei campi.

Di seguito sono riportati alcuni esempi.

Nascondere tutti i campi Time, ordinare la tabella come Size, Log Source, Count:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time', Size, 'Log Source', Count

Come sopra, ma utilizzando comandi di più campi:

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields target = ui -'*Time'
 | fields target = ui Size, 'Log Source', Count

La combinazione di fields e fields target = ui (fields senza target = ui esegue il filtro nel backend):

* | eval 'Raw Size' = unit('Raw Size', byte)
 | link 'Log Source'
 | stats sum('Raw Size') as Size
 | fields -'*Time'
 | fields target = ui Size, 'Log Source', Count

Modifica alias gruppo

Ogni riga della tabella collegamenti corrisponde a un gruppo. È possibile modificare l'alias per le schede Gruppo, Gruppi e Record di log.

Nel menu Opzioni modificare i valori di Alias gruppo, Alias gruppo e Alias record di log.

L'alias gruppo viene utilizzato quando nella tabella principale è presente un solo elemento.

Partecipa a più gruppi utilizzando il comando Mappa

Utilizzare il comando map per unire più sottogruppi dai gruppi collegati esistenti. Questa operazione è utile per assegnare un ID sessione per gli eventi correlati o per correlare gli eventi tra server o origini log diverse.

Ad esempio, la query riportata di seguito unisce gli eventi Memoria insufficiente ad altri eventi entro 30 minuti e colora questi gruppi per evidenziare un contesto per l'indisponibilità di Memoria insufficiente: 

* | link Server, Label
  | createView [ *   | where Label = 'Out of Memory' 
                     | rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
  | sort Entity, 'Start Time'
  | map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and 
                    'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
            | eval Context = Yes 
        ] using 'Out of Memory Events'
  | highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
  | highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'

unisce gli eventi Out of Memory ad altri eventi entro 30 minuti

Vedere map.

Crea gruppi secondari utilizzando il comando Crea vista

Utilizzare il comando createview per creare sottogruppi dai gruppi collegati esistenti. Questa opzione può essere utilizzata insieme al comando map per unire i gruppi.

Ad esempio, è possibile raggruppare tutti gli errori di memoria insufficiente utilizzando il seguente comando: 

* | link Entity, Label 
  | createView  [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'

Vedere createview.

Cerca ed evidenzia gruppi di collegamenti

Utilizzare il comando highlightgroups per cercare una o più colonne nei risultati del collegamento ed evidenziare gruppi specifici. Facoltativamente, è possibile assegnare una priorità alle aree evidenziate. La priorità verrà utilizzata per colorare le aree. È inoltre possibile specificare in modo esplicito un colore.

Ad esempio:

* 
| link Label 
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ] 
| highlightgroups priority = high   [ * | where Label = 'Service Stopped' ] as Shutdown 
| highlightgroups color = #68C182   [ * | where Label = 'Service Started' ] as Startup

opzioni del grafico per selezionare i gruppi evidenziati

Vedere highlightgroups.

Facoltativamente, è possibile unire le colonne evidenziate per creare una singola colonna:


unire le colonne evidenziate per creare una singola colonna