メイン表
グループ表では、次のデフォルト・フィールドにグループおよび対応する値がリストされ、分析の結果が表示されます:
その他のトピック:
| 列 | 詳細 |
|---|---|
|
フィールド |
グループの分析に使用されるフィールド |
|
件数 |
グループのログ・レコードの数 |
|
開始時間 |
分析でログが考慮される期間の開始 |
|
終了時間 |
分析でログが考慮される期間の終了 |
|
グループ期間 |
グループのログ・イベントの期間 |
リンク表へのURLの追加
evalコマンドのurlファンクションを使用してリンクを作成できます。
追加トピック:
次の問合せでは、Search 1、Search 2およびSearch 3の値がURLに割り当てられます:
'Log Source' = 'Database Alert Logs'
| link cluster()
| where 'Potential Issue' = '1'
| nlp keywords('Cluster Sample') as 'Database Error'
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error')
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors)
| eval 'Search 3' = url(google, 'Database Error')
前述の分析では:
-
Search 1、Search 2およびSearch 3がクリック可能なフィールドになりました。リンクをクリックすると、それらのキーワードの検索結果が表示されます。 -
Search 2では、URL全体は表示されません。かわりに、url関数の2番目のパラメータを使用して、URLに別の名前(Errorsなど)を指定します。 -
Search 3はSearch 1と似ていますが、URLの生成にはショートカットgoogleが使用されます。URL全体を使用するかわりに、同様のショートカットを使用できます。
カスタム名でURLショートカットを使用
次の例で、ショートカットに名前が指定されているとします。
'Log Source' = 'Database Alert Logs'
| link cluster()
| where 'Potential Issue' = '1'
| nlp keywords('Cluster Sample') as 'Database Error'
| eval 'Search 1' = url('https://www.google.com/search?q=' || 'Database Error')
| eval 'Search 2' = url('https://www.google.com/search?q=' || 'Database Error', Errors)
| eval 'Search 3' = url(google, 'Database Error')
| eval 'Search 4' = url(google, 'Search Using Google', 'Database Error')
| eval 'Search 5' = url(duckduckgo, 'Search Using DuckDuckGo', 'Database Error')
前述の例では、Search 4はSearch 3と似ていますが、Search 4のショートカットに指定された名前のみが異なります。ショートカットgoogleの名前はSearch Using Googleで、表に表示されます。Search 5では、ショートカットduckduckgoの名前はSearch Using DuckDuckGoで、表に表示されます。urlファンクションで使用可能なOracle定義のショートカットの完全なリストは、Oracle定義のURLのショートカットを参照してください。
CVEショートカットを使用したCVEデータベースへのリンク
urlファンクションのCVEショートカットを使用して、CVEリポジトリへのリンクを作成します。
'Log Source' like '%Access Logs%'
| link 'Client Host Continent'
| addfields [ jndi | stats count as 'JNDI Count' ],
[ URI like '%context.get(%com.opensymphony.xwork2.dispatcher.httpservletresponse%' | stats count as 'GetContext Count' ]
| eval 'Threat ID' = if('JNDI Count' > 0, 'CVE-2021-44228',
'GetContext Count' > 0, 'CVE-2013-2251',
null)
| eval Description = if('JNDI Count' > 0, 'Log4j Vulnerability - ' || 'Threat ID',
'GetContext Count' > 0, 'Struts Exploit - ' || 'Threat ID',
null)
| eval CVE = url(cve, Description, 'Threat ID')
| fields -'Threat ID', -Description, -'JNDI Count', -'GetContext Count'
前述の例では、CVE列は、アクセス・ログの各クライアント・ホスト大陸の値についてCVEリポジトリにリンクしています。
OCIDショートカットを使用したOCIリソースへの自動リンク
url()関数でocidショートカットを使用して、OCIへの関連ページへのリンクを作成します。リソースに特定のページがある場合、URLは直接リンクを指します。それ以外の場合、URLは、そのOCIDのリソース問合せサービスの結果を指します。
'Log Source' = 'OCI Audit Logs' and 'Resource ID' like 'ocid%' and
'Resource ID' not like in ('%managementsavedsearch%', '%managementdashboard%', '%organizationsentity%', '%coreservicesworkrequest%')
| eval 'Resource Type' = substr('Resource ID', 6, indexOf('Resource ID', '.', 6))
| link 'Resource Type'
| stats earliest('Resource ID') as 'Resource ID'
| eval 'OCI Resource' = url(ocid, 'Resource ID')
| sort 'Resource Type'
| fields -'Start Time', -'End Time', -Count, -'Resource ID'
前述の例では、各OCIリソース・タイプのOCIDがOCI監査ログから取得されます。
表の列の非表示、表示または順序付け
fields target = uiコマンドを使用して、リンク・グループ表に非表示または表示するフィールドを制御します。また、このコマンドを使用してフィールドの順序を制御することもできます。
次にいつくか例を示します。
すべてのTimeフィールドを非表示にし、表をSize、Log Source、Countとして並べ替えます。
* | eval 'Raw Size' = unit('Raw Size', byte)
| link 'Log Source'
| stats sum('Raw Size') as Size
| fields target = ui -'*Time', Size, 'Log Source', Count前述と同じですが、複数のフィールド・コマンドを使用します。
* | eval 'Raw Size' = unit('Raw Size', byte)
| link 'Log Source'
| stats sum('Raw Size') as Size
| fields target = ui -'*Time'
| fields target = ui Size, 'Log Source', Count fieldsとfields target = uiの組合せ(target = uiを指定しないfieldsはバックエンドでフィルタリングを実行します):
* | eval 'Raw Size' = unit('Raw Size', byte)
| link 'Log Source'
| stats sum('Raw Size') as Size
| fields -'*Time'
| fields target = ui Size, 'Log Source', Count グループ別名の変更
リンク表の各行はグループに対応します。「グループ」、「グループ」および「ログ・レコード」タブの別名を変更できます。
「オプション」メニューで、「グループ別名」、「グループ別名」および「ログ・レコード別名」の値を変更します。
「グループ別名」は、メイン表に項目が1つのみ存在する場合に使用されます。
mapコマンドを使用した複数のグループの結合
mapコマンドを使用して、既存のリンク・グループから複数のサブグループを結合します。これは、関連するイベントのセッションIDを割り当てる場合や、異なるサーバーまたはログ・ソース間でイベントを相互に関連付ける場合に便利です。
たとえば、次の問合せは、Out of Memoryイベントを30分以内の他のイベントと結合し、それらのグループに色を付けてOut of Memory停止のコンテキストを強調表示します:
* | link Server, Label
| createView [ * | where Label = 'Out of Memory'
| rename Entity as 'OOM Server', 'Start Time' as 'OOM Begin Time' ] as 'Out of Memory Events'
| sort Entity, 'Start Time'
| map [ * | where Label != 'Out of Memory' and Server = 'OOM Server' and
'Start Time' >= dateAdd('OOM Begin Time', minute,-30) and 'Start Time' <= 'OOM Begin Time'
| eval Context = Yes
] using 'Out of Memory Events'
| highlightgroups color = yellow [ * | where Context = Yes ] as '30 Minutes before Out of Memory'
| highlightgroups priority = high [ * | where Label = 'Out of Memory' ] as 'Server Out of Memory'
mapを参照してください。
createviewコマンドを使用したサブグループの作成
createviewコマンドを使用して、既存のリンク・グループからサブグループを作成します。これは、グループを結合するためにmapコマンドと組み合せて使用できます。
たとえば、次のコマンドを使用して、すべてのOut of Memoryエラーをグループ化できます:
* | link Entity, Label
| createView [ * | where Label = 'Out of Memory' ] as 'Out of Memory Events'createviewを参照してください。
リンク・グループの検索および強調表示
highlightgroupsコマンドを使用して、リンク結果の1つ以上の列を検索し、特定のグループを強調表示します。オプションで、強調表示されたリージョンに優先度を割り当てることができます。優先度は、リージョンの色を付けるために使用されます。明示的に色を指定することもできます。
例:
*
| link Label
| highlightgroups priority = medium [ * | where Label in ('Log Writer Switch', 'Checkpoint Wait') ]
| highlightgroups priority = high [ * | where Label = 'Service Stopped' ] as Shutdown
| highlightgroups color = #68C182 [ * | where Label = 'Service Started' ] as Startup
highlightgroupsを参照してください。
オプションで、強調表示された列をマージして単一の列を作成できます:
