Arama İçin Genel Kurallar

ARAMA-QUERY-SORGU için Genel Kurallar

Destek platformu üzerinde arama - query - sorgu alanı için özel bir kategori oluşturduk.Çünkü sorgu işlemi raporlama ve alarm fonksiyonları üzerinde çok geniş bir özelleştirme yeteneği sunar. Bu sorgu diline alternatif olarak rapor ve arama bölümlerimizde klasik filtreler yer almaktadır. Dilerseniz Logsign destek platformu üzerinde bilgi bankası yada topluluk alanlarından konu hakkında merak ettiklerinizi bizim ile paylaşabilirsiniz.

Aşağıda en bilinen kuralları sizin ile paylaşıyoruz.

Değerler kullanarak arama yapmak

Aramak istediğiniz değerleri doğrudan yazabilirsiniz.

Örneğin sorgu olarak ;

  • 192.168.1.1 yazarsanız size içinde bu IP adresi geçen sonuçlar getirilecektir.
  • 192.168.1.1 8.8.8.8 yazarsanız içinde aynı anda bu iki IP adresinin geçtiği sonuçlar getirilecektir.
  • www.cnn.com yazarsanız içinde www.cnn.com olan sonuçlar getirilecektir.

Kolon isimleri ile arama yapmak

Logsign logları topladıktan sonra kolay raporlama için bunları parçalar ve kolonlara atar. Logsign size kolaylık olması açısından konuşma diline yakın ve özel bir kolon isimlendirme mekanizması kullanır. Platform üzerinde logsign kolon mimarisi konusunda özel makaleler yer almaktadır

Örneğin 

  • Source.IP:192.168.1.1 yazarsanız sadece Kaynak IP adresi 192.168.1.1 olan sonuçlar gelecektir. Unutmayın kolon ismi olarak kaynak ip verdiğiniz için hedef bu ip olan sonuçlar görüntülenmeyecektir.
  • Destination.IP:8.8.8.8 yazarsanız hedef IP adresi 8.8.8.8 olan sonuçlar gelecektir.
  • Source.IP:192.168.1.1 Destination.IP:8.8.8.8 yazarsanız kaynak IP adresi 192.168.1.1 hedef IP adresi 8.8.8.8 olan sonuçlar gelecektir.

Mantıksal Operatörler ile arama yapmak AND OR NOT 

 Logsign mantıksal operatorleri kullanmayı destekler bu sayede VE , VEYA  ve DEĞİL anlamlarındaki operatörleri kullanarak her hangi bir veri tablosunu birleştirmeden , SQL bilmeden , Script yazmadan çok daha özel sorgular hazırlayabilirsiniz.

OR - VEYA 

Sorgular içinde VEYA anlamını taşıyan OR ibaresini kullanabilirisiniz. Bu ibarenin kullanıldığı önceki ve sonraki değerlerin herhangi biri anlamını taşır.

Örneğin 

  • www.cnn.com OR www.ntv.com.tr yazarsanız bu içinde www.cnn.com veya www.ntv.com.tr geçen tüm sonuçlar gelecektir.

AND - VE 

Sorgular içinde VE anlamını taşıyan AND kullanabilirisiniz. Ama logsign size kolaylık olması açısından BOŞLUK ları AND olarak kabul eder bu nedenle yazıp yazmamak size kalmış.

  • 192.168.1.1 www.cnn.com yazarsanız bir log satırı içinde aynı anda 192.168.1.1 ve www.cnn.com geçen sonuçlar getirilecektir.

* - YILDIZ

* kullanarak aramalarınızı genişletebilirsiniz. Yıldız operatörü öncesinde yada sonrasında bitişik olarak yazılan değeri tamamlamak için kullanılır. Yıldız operatörünü dilerseniz sonda dilerseniz başta dilerseniz ortada yada hem başta hemde sonda aynı anda kullanabilirsiniz.

Örneğin

  • *.exe yazarsanız içinde * ile başlayan ve .exe ile biten sonuçlara ulaşırsınız.
  • *oogl* yazarsanız başı ve sonu önemsiz olacak şekilde içinde oogle geçen sonuçlar gelir mesela www.google.com içeren sonuçlara ulaşırsınız.

( ) YUVARLAK PARANTEZ 

Yuvarlak parantez gruplayarak arama yapmak için kullanılır. Özellikle birden fazla değere aynı anda ulaşmak istediğinizde kolon isimlerini gruplayarak kullanabilirsiniz.

Örneğin

  • Source.IP:(192.168.1.1 OR 192.168.1.2 OR 192.168.1.3) yazarsanız Source.IP alanında 192.168.1.1 veya 192.168.1.2 veya 192.168.1.3 geçen sonuçlar gelecektir.
  • Vendor.Name:(Microsoft OR Cisco) diyerek bir arama yaparsanız Microsoft ve Cisco üreticilerine ait olan cihazlardan logları aynı anda getirebilirsiniz. Bu aynı zamanda basit bir korelasyon örneğidir. Benzer bir mantık ile şubeler , departmanlar , bir mesaj yada IP grubu içinde rapor ve alarm üretebilirsiniz.
  • Bilgi: Peki bir IP blogunda olan 100 IP adresini yazmak zor olmaz mı bu yöntemle. Evet olur. işte bu durumda belirli bir aralığı aramaya yarayan Köşeli veya Süslü parantez imdadınıza yetişir. 

[ ] KÖŞELİ PARANTEZ

Köşeli parantez bir aralık aramak için kullanılır. Bu değer aralığı sayı , text yada IP adresi olabilir. Mesela IP blogunuzun bir bölümün yada belirli bir seviyeden daha fazla Byte transfer etmiş cihazları bulmak istediğinizde kullanabilirsiniz. 

Örneğin

  • Source.IP:[192.168.1.50 TO 192.168.1.100]şeklinde bir arama yaparsanız bu iki IP ve aralarında kalan IP adresleri olan sonuçları görüntülersiniz.
  • Bytes.Sent:[1024000 TO 10000000] şeklinde bir arama 1 MB dan daha fazla byte gönderimi log olarak gönderildi ise bu sonuçları gösterecektir.

{ } SÜSLÜ PARANTEZ

Kullanımı köşeli parantez ile neredeyse aynıdır. Tek farkı ilk ve son değerleri sonuçlara dahil etmez.

 Örneğin

  • Source.IP:{192.168.1.50 TO 192.168.1.100} şeklinde bir arama yaparsanız baş ve sondaki bu iki IP hariç aralarında kalan IP adresleri olan sonuçları görüntülersiniz.

" " ÇİFT TIRNAK

Çift tırnak bir söz yada değer dizisi aramanız gerektiğinde kullanılır. Özellikle içinde boşluk / vb  olan bir cümleyi arıyorsanız ve bu cümleyi yazdığınız sırada olan sonuçlara ulaşmak istiyorsanız kullanılır. Mesela Çift Tırnak kullanmadan Ali Okula Git şeklinde bir arama yaparsanız için Okula Git Ali olan sonuçlarda görüntülenecektir. her iki arama yöntemi de zaman zaman gerekli olabilir. Eğer "Ali Okula Git" şeklinde bir arama yaparsanız söz dizimi de aynı olacak şekilde sonuçlar görüntülenecektir.  Yani sadece Ali Okula Git olan sonuçlara ulaşırsınız.

Örneğin

  • "Web Site Visited" yazarsanız için "Web Site Visited" kelimeleri aynı yazdığınız sırada olan sonuçlar görüntülenecektir.
  • Bilgi : Çift tırnak işaretleri arasında kalan alana kolon ismi yazamazsınız . Çift tırnak içinde sadece değerler kullanılabilir.
  • Event.Info:"Web Site Visited" yazarsanız Event.Info alanında bu söz dizimi olan sonuçlar görüntülenecektir. 

TÜM KURALLARI AYNI ANDA KULLANABİLME

Daha önce bahsedilen tüm arama yöntemlerini aynı anda kullanabilirsiniz.

Logsign da arama sırasında değerleri, kolon isimlerini, mantıksal operatorleri ve özel işaretleri aynı anda kullanarak daha ileri seviye sorgular oluşturabilirsiniz.

Örneğin

*.exe OR *.zip OR *.rar yazarsanız içinde *.exe *.zip *.rar olan sonuçlar gelecektir.


Vendor.Name:Fortinet Event.Info:"URL has been visited" *.exe OR *.zip yazarsanız Fortinet markalı cihazın gönderdiği web erişim logları içindeki *.exe ve *.zip olan sonuçlar gelecektir.

 

Başka sorularınız var mı? Bir talep gönder

Yorumlar