ラボ 8 - 膨大なデータからの発掘
このラボでは、LogReduce を使用して大きなログ データ セットから一意のメッセージを抽出する方法について説明します。
LogReduce を使用すると、データに含まれる再帰的なシグネチャを特定して、膨大なデータから有意なメッセージを見つけ出すことができます。
-
データから「error」という単語を含むすべてのメッセージを検索します。そして [LogReduce] をクリックして、すべてのメッセージの要約ビューを表示します。
error | logreduce
-
新しい検索で、Snort セキュリティ データに対して LogReduce を実行し、通常とは異なるアクティビティ (侵入) を特定します。
_sourceCategory=labs/snort
| logreduce
-
結果をカウント別にソートして、1 回しか発生していないメッセージを特定します。count (1) をクリックして、通常とは異なるメッセージを表示します。その後、ホストをクリックして、その前後のメッセージを表示し、侵入の形跡を特定します。