ラボ 8 - 経時的な比較

ファイアウォールのログを調べて、拒否されたトラフィック件数が 2 倍に跳ね上がった状況を特定します。

ここでは time compare operator で timeshift オプションを使用して、現在の拒否トラフィックの結果をベースと比較します。過去 24 時間の拒否されたトラフィックを検索し、過去 5 日間の拒否されたトラフィックの平均数と比較します。

_sourceCategory=Labs/PaloAltoNetworks and ",TRAFFIC," and action="deny"

| count action

| compare with timeshift -1d 5 avg

//Uncomment the following line to identify a count 2x that of your avg. This can be useful for alerting

//| where _count > (2 * _count_5d_avg)