Search menüsü, aradığınız bilgi ile ilgili tüm sonuçları (Web, Uygulama, Bağlantı açma-kapama, Mail, VPN vs.) size tek seferde gösterebilen ve sonrasında bu arama sonuçları ile sizlere çok özel raporlar ve alarmlar hazırlamanıza olanak tanıyan eşsiz bir araçtır.
Logsign Search menüsünde size 3 farklı şekilde arama yapma özelliği sunar.
1-Elle sorgu yazarak arama
Logsign sorgu dili olarak Lucene kullanir. Lucene ile yazilan en cok kullanilan sorgu ornekleri asagidadir.
Değerler kullanarak arama yapmak
Aramak istediğiniz değerleri doğrudan yazabilirsiniz.
Örneğin sorgu olarak ;
- 192.168.1.1 yazarsanız size içinde bu IP adresi geçen sonuçlar getirilecektir.
- 192.168.1.1 8.8.8.8 yazarsanız içinde aynı anda bu iki IP adresinin geçtiği sonuçlar getirilecektir.
- www.logsign.com yazarsanız içinde www.logsign.com olan sonuçlar getirilecektir.
Kolon isimleri ile arama yapmak
Logsign logları topladıktan sonra kolay raporlama için bunları parçalar ve kolonlara atar. Logsign size kolaylık olması açısından konuşma diline yakın ve özel bir kolon isimlendirme mekanizması kullanır. Platform üzerinde logsign kolon mimarisi konusunda özel makaleler yer almaktadır
Örneğin
- Source.IP:192.168.1.1 yazarsanız sadece Kaynak IP adresi 192.168.1.1 olan sonuçlar gelecektir. Unutmayın kolon ismi olarak kaynak ip verdiğiniz için hedef bu ip olan sonuçlar görüntülenmeyecektir.
- Destination.IP:8.8.8.8 yazarsanız hedef IP adresi 8.8.8.8 olan sonuçlar gelecektir.
- Source.IP:192.168.1.1 Destination.IP:8.8.8.8 yazarsanız kaynak IP adresi 192.168.1.1 hedef IP adresi 8.8.8.8 olan sonuçlar gelecektir.
Mantıksal Operatörler ile arama yapmak AND OR NOT
Logsign mantıksal operatorleri kullanmayı destekler bu sayede VE , VEYA ve DEĞİL anlamlarındaki operatörleri kullanarak her hangi bir veri tablosunu birleştirmeden , SQL bilmeden , Script yazmadan çok daha özel sorgular hazırlayabilirsiniz.
OR - VEYA
Sorgular içinde VEYA anlamını taşıyan OR ibaresini kullanabilirisiniz. Bu ibarenin kullanıldığı önceki ve sonraki değerlerin herhangi biri anlamını taşır.
Örneğin
- www.cnn.com OR www.ntv.com.tr yazarsanız bu içinde www.cnn.com veya www.ntv.com.tr geçen tüm sonuçlar gelecektir.
AND - VE
Sorgular içinde VE anlamını taşıyan AND kullanabilirisiniz. Ama logsign size kolaylık olması açısından BOŞLUK ları AND olarak kabul eder bu nedenle yazıp yazmamak size kalmış.
- 192.168.1.1 www.cnn.com yazarsanız bir log satırı içinde aynı anda 192.168.1.1 ve www.cnn.com geçen sonuçlar getirilecektir.
* - YILDIZ
* kullanarak aramalarınızı genişletebilirsiniz. Yıldız operatörü öncesinde yada sonrasında bitişik olarak yazılan değeri tamamlamak için kullanılır. Yıldız operatörünü dilerseniz sonda dilerseniz başta dilerseniz ortada yada hem başta hemde sonda aynı anda kullanabilirsiniz.
Örneğin
- *.exe yazarsanız içinde * ile başlayan ve .exe ile biten sonuçlara ulaşırsınız.
- *oogl* yazarsanız başı ve sonu önemsiz olacak şekilde içinde oogle geçen sonuçlar gelir mesela www.google.com içeren sonuçlara ulaşırsınız.
( ) YUVARLAK PARANTEZ
Yuvarlak parantez gruplayarak arama yapmak için kullanılır. Özellikle birden fazla değere aynı anda ulaşmak istediğinizde kolon isimlerini gruplayarak kullanabilirsiniz.
Örneğin
- Source.IP:(192.168.1.1 OR 192.168.1.2 OR 192.168.1.3) yazarsanız Source.IP alanında 192.168.1.1 veya 192.168.1.2 veya 192.168.1.3 geçen sonuçlar gelecektir.
- Vendor.Name:(Microsoft OR Cisco) diyerek bir arama yaparsanız Microsoft ve Cisco üreticilerine ait olan cihazlardan logları aynı anda getirebilirsiniz. Bu aynı zamanda basit bir korelasyon örneğidir. Benzer bir mantık ile şubeler , departmanlar , bir mesaj yada IP grubu içinde rapor ve alarm üretebilirsiniz.
- Bilgi: Peki bir IP blogunda olan 100 IP adresini yazmak zor olmaz mı bu yöntemle. Evet olur. işte bu durumda belirli bir aralığı aramaya yarayan Köşeli veya Süslü parantez imdadınıza yetişir.
[ ] KÖŞELİ PARANTEZ
Köşeli parantez bir aralık aramak için kullanılır. Bu değer aralığı sayı , text yada IP adresi olabilir. Mesela IP blogunuzun bir bölümün yada belirli bir seviyeden daha fazla Byte transfer etmiş cihazları bulmak istediğinizde kullanabilirsiniz.
Örneğin
- Source.IP:[192.168.1.50 TO 192.168.1.100]şeklinde bir arama yaparsanız bu iki IP ve aralarında kalan IP adresleri olan sonuçları görüntülersiniz.
- Bytes.Sent:[1024000 TO 10000000] şeklinde bir arama 1 MB dan daha fazla byte gönderimi log olarak gönderildi ise bu sonuçları gösterecektir.
{ } SÜSLÜ PARANTEZ
Kullanımı köşeli parantez ile neredeyse aynıdır. Tek farkı ilk ve son değerleri sonuçlara dahil etmez.
Örneğin
- Source.IP:{192.168.1.50 TO 192.168.1.100} şeklinde bir arama yaparsanız baş ve sondaki bu iki IP hariç aralarında kalan IP adresleri olan sonuçları görüntülersiniz.
" " ÇİFT TIRNAK
Çift tırnak bir söz yada değer dizisi aramanız gerektiğinde kullanılır. Özellikle içinde boşluk / vb olan bir cümleyi arıyorsanız ve bu cümleyi yazdığınız sırada olan sonuçlara ulaşmak istiyorsanız kullanılır. Mesela Çift Tırnak kullanmadan Ali Okula Git şeklinde bir arama yaparsanız için Okula Git Ali olan sonuçlarda görüntülenecektir. her iki arama yöntemi de zaman zaman gerekli olabilir. Eğer "Ali Okula Git" şeklinde bir arama yaparsanız söz dizimi de aynı olacak şekilde sonuçlar görüntülenecektir. Yani sadece Ali Okula Git olan sonuçlara ulaşırsınız.
Örneğin
- "Web Site Visited" yazarsanız için "Web Site Visited" kelimeleri aynı yazdığınız sırada olan sonuçlar görüntülenecektir.
- Bilgi : Çift tırnak işaretleri arasında kalan alana kolon ismi yazamazsınız . Çift tırnak içinde sadece değerler kullanılabilir.
- Event.Info:"Web Site Visited" yazarsanız Event.Info alanında bu söz dizimi olan sonuçlar görüntülenecektir.
TÜM KURALLARI AYNI ANDA KULLANABİLME
Daha önce bahsedilen tüm arama yöntemlerini aynı anda kullanabilirsiniz.
Logsign da arama sırasında değerleri, kolon isimlerini, mantıksal operatorleri ve özel işaretleri aynı anda kullanarak daha ileri seviye sorgular oluşturabilirsiniz.
Örneğin
*.exe OR *.zip OR *.rar yazarsanız içinde *.exe *.zip *.rar olan sonuçlar gelecektir.
Vendor.Name:Fortinet Event.Info:"URL has been visited" *.exe OR *.zip yazarsanız Fortinet markalı cihazın gönderdiği web erişim logları içindeki *.exe ve *.zip olan sonuçlar gelecektir.
2-Loglara Tıklayıp Otomatik Sorgu Oluşturarak Arama
Gelen logların üzerine tıkladığımızda aşağıdaki ekran görüntüsündeki mavi renkli çerçeve içindeki sonuçları görebilirsiniz.Bu sonuçlarda, ilişkili verilerin gruplanmış gösterimini anlaşılır şekilde görebilirsiniz.Bu alanda yer alan verilerin her biri tıklanabilir ve sizi doğrudan search alanına götürecek aktif verilerdir.
İkinci search yapma yöntemimiz, bu çıkan sonuçlardaki kolon isimlerinin karşısında yazan değerlere,isimlere vs. tıklayarak oluşturma yöntemidir.
Ekran görüntüsündeki oklarla gösterilen sonuçlara tıklandığında sorgunun otomatik olarak sorgu yazma alanına geldiğini bu kez üst taraftaki oklar ile görebilirsiniz.
3- Filtre (Search Filter) Kullanarak Basit Arama
Search menüsünde Search Filter'ı kullanarak kolayca arama yapabilirsiniz.
Bu filtreler ayrıca yazdığınız sorguyu daha da özelleştirip derinlemesine arama imkanı sunarken ayrıca seçtiğiniz filtreye göre sadece o kolona ait sonuçları görmenizi sağlar.
Aşağıdaki ekran görüntüsündeki örneğimizde Source.IP filtresine göre seçtiğimiz "192.168.240.15" IP'sine ait sonuçları görüyoruz.Filtremizi seçildikten sonra ok ile gösterilen alana otomatik gelir,search butonu yardımıyla da sadece bu IP' ye ait sonuçları görürüz.
Filtreyi kaldırmak için ise yapmanız gereken, IP' nin sağındaki "X" işaretini kullanmak olacaktır.Daha sonra yeni filtre eklemek için ise yeniden Search Filter alanını kullanırız.