Tabela Principal
A tabela de grupos exibe o resultado da análise listando os grupos e os valores correspondentes dos seguintes campos padrão:
Mais Tópicos:
| Coluna | Detalhes |
|---|---|
|
Campo(s) |
O campo usado para analisar o grupo |
|
Contagem |
O número de registros de log no grupo |
|
Horário Inicial |
O início do período no qual os logs são considerados para a análise |
|
Horário Final |
O fim do período no qual os logs são considerados para a análise |
|
Duração do Grupo |
A duração do evento de log do grupo |
Adicionar URLs à Tabela de Links
Você pode criar links usando a função url do comando eval.
Tópicos Adicionais:
Na consulta a seguir, os valores para Search 1, Search 2 e Search 3 são URLs designados:
'Log Source' = 'Database Alert Logs'
| link cluster()
| where 'Potential Issue' = '1'
| nlp keywords('Cluster Sample') as 'Database Error'
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error')
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors)
| eval 'Search 3' = url(google, 'Database Error')
Na análise acima:
-
Search 1,Search 2eSearch 3agora são Campos clicáveis. Clique no link para exibir os resultados da pesquisa dessas palavras-chave. -
Search 2não exibe o URL inteiro. Em vez disso, o segundo parâmetro na funçãourlé usado para dar ao URL um nome diferente, por exemplo,Errors. -
Search 3é semelhante aSearch 1, mas o atalhogoogleé usado para gerar o URL. Em vez de usar a URL inteira, você pode usar atalhos semelhantes.
Usar Corte Curto da URL com Nome Personalizado
Considere o seguinte exemplo em que um nome é fornecido para o atalho:
'Log Source' = 'Database Alert Logs'
| link cluster()
| where 'Potential Issue' = '1'
| nlp keywords('Cluster Sample') as 'Database Error'
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error')
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors)
| eval 'Search 3' = url(google, 'Database Error')
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')
No exemplo acima, Search 4 é semelhante a Search 3, mas só difere no nome dado ao atalho em Search 4. O atalho google tem o nome Search Using Google, que é exibido na tabela. Em Search 5, o atalho duckduckgo tem o nome Search Using DuckDuckGo exibido na tabela. Para obter uma lista completa de atalhos definidos pela Oracle disponíveis com a função url, consulte Atalhos de url Definidos pela Oracle.
Usar o Atalho de CVE para Vincular a Bancos de Dados de CVE
Use o atalho CVE na função url para criar um link para o repositório de CVE.
'Log Source' like '%Access Logs%'
| link 'Client Host Continent'
| addfields [ jndi | stats count as 'JNDI Count' ],
[ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ]
| eval 'Threat ID' = if('JNDI Count' > 0, 'CVE-2021-44228',
'GetContext Count' > 0, 'CVE-2013-2251',
null)
| eval Description = if('JNDI Count' > 0, 'Log4j Vulnerability - ' || 'Threat ID',
'GetContext Count' > 0, 'Struts Exploit - ' || 'Threat ID',
null)
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'
No exemplo acima, a coluna CVE vincula-se ao repositório CVE para o valor de cada Continente do Host do Cliente dos Logs de Acesso.
Usar o Atalho OCID para Vincular Automaticamente a Recursos do OCI
Use o atalho ocid na função url() para criar um link para uma página relevante para o OCI. Se o recurso tiver uma página específica, o URL apontará para o link direto. Caso contrário, o URL apontaria para os resultados do Serviço de Consulta de Recursos para esse OCID.
'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'
No exemplo acima, o OCID de cada tipo de recurso do OCI é selecionado nos Logs de Auditoria do OCI.
Ocultar, Mostrar ou Ordenar as Colunas da Tabela
Use o comando fields target = ui para controlar os campos que devem ser ocultados ou mostrados na tabela de grupos de links. Você também pode usar esse comando para controlar a ordem dos campos.
A seguir, apresentamos alguns exemplos:
Oculte todos os campos Time, ordene a tabela como Size, Log Source, Count:
* | eval 'Raw Size' = unit('Raw Size', byte)
| link 'Log Source'
| stats sum('Raw Size') as Size
| fields target = ui -'*Time', Size, 'Log Source', CountO mesmo que acima, mas usando vários comandos de campos:
* | eval 'Raw Size' = unit('Raw Size', byte)
| link 'Log Source'
| stats sum('Raw Size') as Size
| fields target = ui -'*Time'
| fields target = ui Size, 'Log Source', Count A combinação de fields e fields target = ui (fields sem target = ui executa filtragem no backend):
* | eval 'Raw Size' = unit('Raw Size', byte)
| link 'Log Source'
| stats sum('Raw Size') as Size
| fields -'*Time'
| fields target = ui Size, 'Log Source', Count Alterar o Alias do Grupo
Cada linha na tabela de links corresponde a um Grupo. Você pode alterar o alias das guias Grupo, Grupos e Registros de Log.
No menu Opções, modifique os valores Alias de Grupo, Alias de Grupos e Alias de Registros de Log.
O Apelido do Grupo é usado quando há apenas um item na tabela principal.
Unir Vários Grupos Usando o Comando Map
Use o comando map para unir vários subgrupos dos Grupos vinculados existentes. Isso é útil para designar um ID de Sessão para eventos relacionados ou correlacionar eventos entre diferentes servidores ou origens de log.
Por exemplo, a consulta a seguir une eventos de Memória Insuficiente com outros eventos em 30 minutos e colore esses grupos para destacar um contexto para a interrupção por Memória Insuficiente:
* | link Server, Label
| createView [ * | where Label = 'Out of Memory'
| rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
| sort Entity, 'Start Time'
| map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and
'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
| eval Context = Yes
] using 'Out of Memory Events'
| highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
| highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'
Consulte map.
Criar Subgrupos Usando o Comando Createview
Use o comando createview para criar subgrupos dos grupos vinculados existentes. Isso pode ser usado em conjunto com o comando map para unir grupos.
Por exemplo, você pode agrupar todos os erros de Memória Insuficiente usando o seguinte comando:
* | link Entity, Label
| createView [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'Consulte createview.
Pesquisar e Destacar Grupos de Links
Use o comando highlightgroups para pesquisar uma ou mais colunas nos resultados do Link e destacar grupos específicos. Se desejar, designe uma prioridade às regiões destacadas. A prioridade seria usada para colorir as regiões. Você também pode especificar explicitamente uma cor.
Por exemplo:
*
| link Label
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ]
| highlightgroups priority = high [ * | where Label = 'Service Stopped' ] as Shutdown
| highlightgroups color = #68C182 [ * | where Label = 'Service Started' ] as Startup
Consulte highlightgroups.
Você pode mesclar as colunas destacadas para criar uma única coluna:
