sequence

このコマンドを使用して、linkコマンドで識別されるグループ内のログ・レコード・パターンを検索します。

構文

sequence name = <name> [<sequence_options>] <match_rules> select <output_fields>

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ 説明

name

連番表示名

sequence_options

構文: [field = <field_name>][span = <int><timescale>] [maxpause = <int><timescale>]

  • field: ログ・レコードをソートするためのタイムスタンプ・フィールド。指定しない場合、Timeが使用されます。
  • span: 一致するログ・レコードを検索する時間の長さ
  • maxpause: 照合の実行時の2つのログ・レコード間の最大距離
  • timescale: <sec> | <min> | <hour> | <day> | <week> | <mon>

    sec: このパラメータに許可される値には、ssecsecssecondおよびsecondsが含まれます。

    min: このパラメータに許可される値には、mminminsminuteまたはminutesが含まれます。

    hour: このパラメータに許可される値には、hhrhrshourおよびhoursが含まれます。

    week: このパラメータに使用できる値には、wweekおよびweeksが含まれます。

    month: このパラメータに使用できる値には、monmonthおよびmonthsが含まれます。

match_rules

構文: <match_rule> [then <match_rule> ...] | between <match_rule> and <match_rule>

match_rule: <subquery> { <min_match> [,<max_match>] }

  • subquery: ログ・レコードと一致する副問合せ
  • min_match: 最小一致数
  • max_match: 最大一致数

output_fields

結果に返されるフィールド

構文: <field_name> [as <new_name>]

次のコマンドは、5つ以上の失敗したログインを検索し、そのあとに1つ以上の成功したログインを検索します。

* | link Entity
  | sequence name = 'Security Event' span = 5min [ 'Security Result' = failure ]{5,} then [ 'Security Result' = success ]{1,} select 'Source IP Address'

次のコマンドは、2つのイベント間のセッション詳細を返します。

* | link Account
  | sequence name = 'User Session' between [ Action = login ]{1,} and [ Action = logout ]{1,} select Action, Entity