メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 7 - 異常なイベントの特定

outlier operator を使用すると、しきい値の外側にあるイベントを特定できます。
outlier operator を使用すると、しきい値の外側にあるイベントを特定できます。

 

  1. Labs/snort ログを検索して、サービス拒否の試行の頻度 (DDoS 攻撃のインジケーター) について異常を検出します。結果を「タイムスライス」することで、経時的な傾向を確認できます。最後に、outlier operator を使用して折れ線グラフに試行の頻度をプロットし、外れ値を見つけるための許容範囲を表示します。

_sourceCategory=Labs/snort      
| parse "*[Classification: *] [Priority: *] {TCP} * -> *" as DateInfoandfile,Classification,Priority,SourceIP,DestinationIP
| where classification="Attempted Denial of Service"
| timeslice 5m
| count (Classification) by _timeslice
| sort by _timeslice
| outlier _count window=10, consecutive=1, threshold=2, direction=+

  1. おまけ: window、consecutive、threshold、および direction のパラメータを操作して、動作の変化を確認します。(ヒント: 許容範囲の下側の外れ値については、存在するかどうかを確認する必要はありません。)

外れ値の結果をグラフ化した画像

  • この記事は役に立ちましたか?