个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我需要列出管理员帐户(使用 where 语句找到)在 5 分钟内登录多个工作站的结果列表,这将表明过去 24 小时内的可疑事件。现在,我仅使用必要的信息记录每 5 分钟发生一次不同事件的时间。我需要做的就是做到这一点,以便出现的唯一结果是当同一帐户在不同工作站上使用该帐户进行最后一次不同事件的 5 分钟内登录到不同工作站时,但我只是不确定如何就这样吧。
SecurityEvent
| where Account matches regex "*admin*"
and AccountType == "User"
and ((EventID == "4625") or (EventID == "4624"))
| project Account, WorkstationName, IpAddress, EventID, TimeGenerated, Computer
| distinct WorkstationName, Account, IpAddress, EventID, TimeGenerated, Computer
| summarize by bin(TimeGenerated, 5m), Account, WorkstationName, IpAddress, EventID, Computer
| sort by Account
示例数据:
let Table = datatable(TimeGenerated:datetime, Account:string, Computer:string, WorkstationName:string, IPAddress:int, EventID:int)
[
7/21/2021, 5:15:00.000 PM, "1", "A", "123", 11.63.24.357, 4624
7/22/2021, 1:20:00.000 PM, "2", "G", "195", 19.26.83.257, 4624
7/22/2021, 1:25:00.000 PM, "2", "P", "275", 192.64.9.432, 4624
];
预期输出仅为最后 2 个日志,因为同一帐户在 5 分钟内登录到另一台计算机。如果可能的话,我也只想生成一个日志作为 count() ,记录该帐户登录的次数以及 5 分钟内有多少台不同的计算机
任何建议都有帮助,谢谢!
最佳答案
这是您要找的吗?
let Table = datatable(TimeGenerated:datetime, Account:string, Computer:string, WorkstationName:string, IPAddress:string, EventID:int)
[
datetime(2021-07-21 17:15:00.000), "1", "A", "123", "11.63.24.357", 4624,
datetime(2021-07-22 13:20:00.000), "2", "G", "195", "19.26.83.257", 4624,
datetime(2021-07-22 13:24:00.000), "2", "P", "275", "192.64.9.432", 4624
];
Table
| summarize EventCount = count(), DistinctComputers= dcount(Computer) by bin(TimeGenerated, 5m), Account
结果:
关于Azure Sentinel 基于来自 KQL 的 5 分钟数据间隔发出警报,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68476052/
25
4
0
所以,我想知道 KQL 查询的逻辑处理是什么,但到目前为止在网络上找不到相关的内容。 如果在 SQL 中我们首先有 FROM 子句,第二个 ON 子句,第三个 OUTER 子句,依此类推,那么它的等价
下面的代码有效 let names = dynamic(['Windows Installer', 'Software Protection']); ConfigurationChange | whe
我在 azure 应用程序见解中有一个列,它是字符串,其中日期以字符串形式存储20210820122039 (yyyymmddhhmmss) 我想创建新列,该列将通过将所有值转换为日期格式(默认格式即
当我运行 .NET Core 应用程序时,我遇到了大约 60 个异常 - 特定类型 - 合作伙伴中心异常。 我已经处理了这些异常,但现在我正在编写一些 KQL 查询,以便我可以提前知道是否出现任何问题
当我运行 .NET Core 应用程序时,我遇到了大约 60 个异常 - 特定类型 - 合作伙伴中心异常。 我已经处理了这些异常,但现在我正在编写一些 KQL 查询,以便我可以提前知道是否出现任何问题
我正在开发一个逻辑应用程序,它将创建一个错误,我必须在工作项中显示描述,如下所示: { "Description": { "Title":"", "Va
希望定义一个变量来保存查询的输出,然后从中查询跟踪。像这样: let start=datetime("2020-10-07T15:01:00.000Z"); let end=datetime("202
我有一个执行一些 KQL 的 API。 我正在执行一个 KQL,它会过滤所有行,以便某些列(字符串列表类型)包含某个给定字符串列表中的任何值。 基本上: let foo1 = datatable(d:
在 Azure 门户中使用“监视器”、“日志”功能时,您可以通过将列标题拖放到某个框中来对行进行分组,问题是按“保存”按钮时不会保存此内容。 如何编写生成相同结果的 KQL?按 Column_Name
我想知道是否可以在 KQL 中自定义特定日期时间的格式。 例如我有以下代码: let value = format_datetime(datetime(07:30:00), "HH:mm"); pri
需要帮助从哨兵登录日志收集的用户主体名称中过滤用户域。我将所有用户域从 upn 中分离出来,如下所示。 扩展 UserDomains = split(UserPrincipalName,'@')[1]
我正在使用 KQL 显示表中的数据。 生成列后,我可以在仪表板上的表格中查看数据;右侧有一个“列”菜单按钮,您可以在其中应用行分组。 是否有一些 KQL 查询可以自动应用这些行分组?目前,我每次加载仪
这是一个相当简单的问题,但由于我在 KQL 还很新,我很难弄清楚如何正确地做到这一点。我想解析一个具有 ["name"] 的字符串。目前我正在做 | parse Tags_s * "["Tags 然后
我正在处理一个查询,我需要其中包含“Compromied”消息的日志,然后我希望它返回前面的 5 个“deny”日志。 KQL 新手,只是不知道运算符(operator),所以我感谢您的帮助! 当前查
互联网上的 friend 们大家好, 我想显示行,条件是它们不会以其他方式出现在其他行上。 例如我有这张表: 姓名姓氏状态艾比艾布森好的艾比艾布森不行鲍比鲍勃森不行桑德拉梅耶尔好的 我想显示状态为“不
我有一个专栏,['timestamp']在 Azure 数据资源管理器中。某个值 x 被分配给该时间戳。 数据正在实时传输,我想获取昨天数据的最后一个值。但是,当我执行 substring() 或日期
嗨,我一直在尝试将查询从字节转换为 GB,但是我得到了一些奇怪的结果。我还得到相同的组件,其大小逐渐增加,这是有意义的,因为我们正在获取使用的字节,我们希望看到增加的字节,但我只想要最新的数据集(当查
有没有一种方法可以查询订阅中称为“存储”的所有存储帐户并获取每个帐户的已用容量。我正在尝试创建一个警报规则,如果它们超过 1024 GB 容量,但我没有在任何地方看到已使用的容量。您可以进入每个存储帐
我有 KQL,可以显示某个时间范围内有多少个虚拟机连接。并显示连接的开始时间、停止时间和持续时间。我的代码: WVDConnections | where SessionHostName contai
我正在尝试聚合来自 Azure Sentinel 的开放性高事件。由于每次进行更改时都会在日志中更新事件,这意味着事件的最新迭代状态为"new",并且状态为“已关闭”的最新条目。因为我不能过滤掉 |
我是一名优秀的程序员,十分优秀!