メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 5 - 膨大なデータからの発掘

LogReduce を使用することで、何千ものログ メッセージから一般的なセキュリティ イベントや、まれなセキュリティ イベントを効率的に検出できます。
LogReduce を使用すると、データに含まれる再帰的なシグネチャを特定して、膨大なデータから有意なメッセージを見つけ出すことができます。

 

  1. Snort セキュリティ データに対して LogReduce を実行し、過去 60 分間の通常とは異なるアクティビティ (侵入) を特定します。

_sourceCategory=labs/snort

| logreduce

  1. [Count (カウント)] をクリックして結果をソートして、1 回しか発生していないメッセージを特定します。[Count (カウント)] 見出しの下の 1 をクリックして、通常とは異なるメッセージを表示します。 Screen Shot 2020-02-22 at 12.52.34 PM.png

  2.  前後のメッセージ機能を使用すると、識別されたホスト、名前、カテゴリなどのコンテキストから収集したメッセージについて、その前後で発生したイベントを調査できます。これにより、定義された時間範囲におけるアクティビティを参照できます。その後、ホストをクリックして、その前後のメッセージを表示し、侵入の形跡を特定します。[Host (ホスト)] のドロップダウンから [5 Minutes (5 分)] を選択します。

前後の時間選択の画像

 

  • この記事は役に立ちましたか?