メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 6 - 異なる期間のアクティビティの比較

LogCompare を使用すると、2 つの異なる期間から抽出したログ アクティビティを比較して、ベースラインと比べて現在のアクティビティがどうなっているかを見ることができます。
LogCompare を使用すると、2 つの異なる期間から抽出したログ アクティビティを比較して、ベースラインと比べて現在のアクティビティがどうなっているかを見ることができます。ここでは、LogCompare を使用してシグネチャ メッセージがベースラインから 25% を超えて変動している時間を特定します。

 

  1. まず、LogReduce から過去 60 分間labs/Snort メッセージについての要約されたシグネチャを確認します。

_sourceCategory=labs/snort

| logreduce

  1. 次に LogCompare を使用して、24 時間前に発生したベースラインについて要約したクエリを実行します。 

_sourceCategory=labs/snort

| logcompare timeshift -24h

  1. デルタ パーセント値が 25% を超えている結果のみを表示するため、利用できる隠しフィールドの 1 つである _deltaPercentage に where 句を追加します。

_sourceCategory=labs/snort

| logcompare timeshift -24h

| where abs(_deltaPercentage) > 25

  1. 現在の期間で新しいシグネチャを含む結果を表示するため、_isNew に where 句を追加します。

_sourceCategory=labs/snort

| logcompare timeshift -24h

| where (_isNew)

  • この記事は役に立ちましたか?