最后更新于2023年4月25日星期二22:02:14 GMT
我们很高兴地宣布,日志搜索现在支持 按日志数据中的多个字段分组. 通过运行单个查询, 您可以轻松地向下钻取日志数据以进行深入分析, 同时还能获得数据的整体视图.
请继续阅读,了解如何深入了解日志数据, 无需将数据导出到BI工具或打开多个浏览器窗口.
如何使用LEQL Multi-groupby
让我们从一个常见的“groupby”查询示例开始:查看每个用户的登录尝试次数. 在“日志搜索”的“资产认证”日志集中可以找到该日志数据.
groupby (destination_user)计算(计算)
该查询将显示登录尝试次数最多的用户. 但是您可能希望看到更多的上下文—这些登录尝试是否都来自同一设备或国家代码? 这些尝试的结果是什么?
通过添加额外的字段, 现在,无需在不同的选项卡中运行多个查询,就可以进行这种层次的深入. 只需在单个分组查询中添加最多五个字段,即可获得额外的见解.
使用上面的例子, 让我们展开查询,以便可以轻松查看有关登录尝试的更多信息. 您可以通过在“Advanced”querybuilder模式中输入其他键来实现这一点, 或者您可以使用“简单”模式中提供的按钮.
该查询将添加关于登录尝试的以下信息:结果, 服务, 以及该资产的IP地址.
Groupby (destination_user, 结果, 服务, source_asset_address) calculate(count)
当运行这个查询时,数据看起来有点不同. 尝试次数最多的用户仍然首先显示, 但现在作为一个堆叠的酒吧, 第二个字段(登录尝试的结果)显示为用户栏中的数据点.
要浏览这些数据,只需点击其中一个条形图. 在这个例子中, 它将根据被点击的用户进行过滤, 条形图将显示每个登录结果, 按服务分类. 您可以继续向下钻取,直到查询中的所有组都可见, 或者你可以通过点击“后退”按钮回到上一级.
在图表下面的表格里, 第一个字段的值与前面一样显示, 现在有了更详细地探索数据的选项.
使用箭头,可以将显示后续字段值的附加行添加到表中. 由于数据最多可以按五个级别分组,这为缩小搜索范围提供了一种强大的方法.
每个组的链接允许您通过值的组合快速筛选日志数据, 因此,您可以在几秒钟内直接获得要查找的日志数据.
提示:您可以通过使用LIMIT和SORT选项进一步优化搜索. 下面的查询将继续首先显示登录尝试的最高次数, 但结果和服务将按字母顺序排序. 此外,它还将限制返回的团体数量.
Groupby (destination_user, 结果, 服务, Source_asset_address)计算(count)排序(desc, asc #键, asc #键)限制(10,3,10)
想要更深入地了解您的网络流量分析数据? 这里有一些有用的问题可以帮助你开始
查看用户使用哪些应用程序从网络导出数据:
(方向=“出站”)groupby (source_user吗, 计算(sum: "total_bytes")
查看哪些国家和相关应用程序连接到网络:
(方向=“入站”)groupby (geoip_country_name吗, 计算(sum: "total_bytes")
请参阅DNS服务器和相关的DNS查找:
groupby (top_private_domain dns_server_address)
Summary
通过向日志搜索查询添加附加字段, 您可以很快看到日志数据的更丰富的图片, 从那里开始, 轻松过滤数据以直接获取您正在查看的数据,无需将数据导出到BI工具, 或者运行多个查询.