メインコンテンツまでスキップ
Sumo Logic Japanese

ラボ 13 - transactionize を使用した相関

transaction operator を使用してキー フィールドによって、異なるデータ ソースからの生のメッセージの詳細情報をまとめます。

 

  1. 結果を集計する transaction operator とは異なり、transactionize operator は相関後に詳細を提供し、結果により多くのフィールドや詳細を表示できるようにします。
  2. このラボでは、transactionize operator を使用して、通常トラフィック (type="TRAFFIC" および action="allow") でありながらも THREAT のフラグが立っている Source IP アドレスを特定します。メモリが制限に達しないようにするには、期間を最後の 5 分間に制限します。

((_sourceCategory=Labs/PaloAltoNetworks ",THREAT,") or (_sourceCategory=Labs/PaloAltoNetworks ",TRAFFIC," action=allow))

| concat(dest_ip,":", dest_port) as destination

| transactionize src_ip (merge type, destination, src_ip takeFirst)

| where type matches "*TRAFFIC*" and type matches "*THREAT*"

// Optionally, you can use these last 2 lines to clean up your results

//| count src_ip, type, destination

//| fields - _count

  • この記事は役に立ちましたか?