sequence
このコマンドを使用して、link
コマンドで識別されるグループ内のログ・レコード・パターンを検索します。
構文
sequence name = <name> [<sequence_options>] <match_rules> select <output_fields>
パラメータ
次の表に、このコマンドで使用されるパラメータとその説明を示します。
パラメータ | 説明 |
---|---|
|
連番表示名 |
|
構文:
|
|
構文:
|
|
結果に返されるフィールド 構文: |
次のコマンドは、5つ以上の失敗したログインを検索し、そのあとに1つ以上の成功したログインを検索します。
* | link Entity
| sequence name = 'Security Event' span = 5min [ 'Security Result' = failure ]{5,} then [ 'Security Result' = success ]{1,} select 'Source IP Address'
次のコマンドは、2つのイベント間のセッション詳細を返します。
* | link Account
| sequence name = 'User Session' between [ Action = login ]{1,} and [ Action = logout ]{1,} select Action, Entity