요약 연산자
개요
결과를 집계하려면 summarize.
| summarize [[<dest>=]aggregation[, ...]] by [<dest>=]<expression>[, ...] 다음과 같은 많은 집계가 지원됩니다:
사용 가능한 집계의 전체 목록은 다음에서 확인하세요 집계 함수.
이 기능은 규칙이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알림 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.
개수
다음 쿼리는 지난 하루 동안 필드에 저장된 모든 이벤트의 개수를 표시합니다 num_connections:
993
단일 필드별 그룹 개수
다음 쿼리는 각각의 연결 수를 계산합니다 clientIp 그리고 연결 수가 많은 것부터 결과를 정렬합니다:
192.167.7.55
979
10.145.4.26
130
10.99.231.15
31
...
여러 필드별 그룹 개수
다음 쿼리는 다음을 표시합니다 num_connections 둘 다로 그룹화된 clientIp 및 clientPort 필드:
192.167.7.55
50160
7
10.145.4.26
63335
5
10.145.4.26
60845
4
192.167.7.55
52138
4
10.99.231.15
58704
3
…
임의 표현식으로 그룹 개수
client.ipAddress:
1114
false
324
고유 개수 세기
아래 쿼리는 고유한 수를 저장합니다 clientIp들 num_distinct_clients:
121
나중에 집계 참조하기
후속 쿼리 표현식에서 집계를 참조할 수 있습니다:
192.167.7.55
50160
7
10.145.4.26
63335
5
...
필드별 요약(집계 없이)
아래 쿼리는 각 고유한 값을 표시합니다 알림 요약 사용 사례 예시:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
curl/8.1.2
Mozilla/5.0 (Linux; Android 7.0; LG-H918 Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Mobile Safari/537.36
…
Last updated
Was this helpful?