簡易的 MS OMS 搜尋字串

別忘記簡易的搜尋方法 在先前的文章中有介紹利用輸入搜尋指令的方式來客製化想要的搜尋結果,但不要忘了 OMS 被設計得非常容易,也就是說,其實很多指令都已經被建立了。 Note:若要建立客製化的 OMS 搜尋,可以參考:Log Analytics 搜尋參考。 例如:若新增了 WireData 方案,便會產生一個新的資料種類:WireData。可以很輕易地利用以下指令搜尋 WireData 所收集的資料: Type=WireData 若您對區域子網路資料有興趣,只需要點選區域子網路。在下圖可看到總共有4個區域子網路:   點選區域子網路磚後,自動執行的搜尋指令如下: Type:WireData | Measure Sum(TotalBytes) by LocalSubnet 無需額外再自行輸入任何指令,便會自動搜尋。接著可以點選特定產生很多流量的子網路來深入查看。此範例中選擇流量最多的 172.16.10.0/24,點選此子網路後,便會自動執行以下指令: Type:WireData LocalSubnet=”172.16.4.0/22″ 如下圖:   每當選取不一樣的項目時,都可以看到搜尋指令自動改變,並顯示出不同的搜尋結果。這也是很好學習 OMS 搜尋指令的方式。 在 WireData 方案儀表板中,向右拉可以看到一個 WireData 常用的搜尋指令清單可以選擇:   例如:點選清單中的第一項搜尋指令,提供線路傳輸資料的代理程式數,接著 OMS 便會自動執行以下指令開始搜尋: Type=WireData | measure Sum(TotalBytes) by Computer | top 500000   由此可見,在學習使用 OMS 搜尋指令索引的過程中,有許多不同方法能夠細讀收集的資料,能夠利用 OMS…

0

利用 OMS 搜尋不同種類的數據

MS OMS 的指令數據被分為不同種類的資料。依據工作區中所實行的方案,會有不同種類的資料。例如:警示管理方案就會產生警示資料,並可以利用以下指令搜尋: Type=Alert Note:需要注意的是 Type 有些敏感,若您輸入 type = Alert 或是 type alert 都會失敗,並會顯示出 Invalid Number: Alert。 在以下範例搜尋中,有1000筆結果:   您也可以搜尋 ADAssessmentRecommendation: Type:ADAssessmentRecommendation Note:您搜尋時可以使用冒號或是等號,兩者都會有效,而空白鍵也不會影響搜尋。例如:Type:Alert 、 Type=Alert、Type = Alert,都是會成功的。 可以搜尋 ProtectionStatus,會回傳惡意程式的評估: Type:ProtectionStatus 可以使用 ConfigurationChange 種類搜尋從變更追蹤方案產生的資料: Type=ConfigurationChange 伺服器與工作量使用了 ConfigurationObject 種類: Type:ConfigurationObject 安全與稽核方案使用了 SecurityEvent 種類: Type=SecurityEvent 也可以使用 WireData 和 WindowsFirewall 種類,以下兩種搜尋會回傳百萬筆結果: Type=WireData Type=WindowsFirewall Container 方案使用了 ContainerImageInventory 種類來持續追蹤 container: Type=ContainerImageInventory 可以使用 ContainerLog 種類來查看 container 紀錄: Type=ContainerLog SQL 評估使用了 SQLAssessmentRecommendation 種類 Type:SQLAssessmentRecommendation 系統更新方案使用了 Update 種類:…

0

MS OMS 記錄搜尋

MS OMS 中的搜尋介面 首先從 OMS 儀表板點選 記錄搜尋 就會進入到搜尋的畫面。其中可以注意畫面中以下幾點: 輸入搜尋指令的區域 開始搜尋按鈕 搜尋介面如下圖: 利用字串搜尋 首先,輸入搜尋指令並按下搜尋按鈕。只需幾秒鐘便會顯示出搜尋結果。此範例輸入 blank passwords 來搜尋相關的事件,下圖搜尋結果可看到在過去一天總共有114個結果,其類型都是 SecurityBaseline: 接著可以點擊畫面左方的 SecurityBaseline,便會自動執行此指令: blank passwords Type= SecurityBaseline 您變可以看到 Security Baseline 種類的結果,並可以在左方看到概觀。如下圖:   若您覺得這個搜尋指令是很有幫助的,您可以點選上方的 儲存。點選後會跳出儲存指令對話框,您可以為這個指令命名並分類:   您可以輕易地透過在 儲存 按鈕旁的 我的最愛 找到搜尋指令。您不需要完整的打出儲存的搜尋指令,只需要輸入足夠的字數讓其能夠加入清單中。如下圖:   另一個很好檢索搜尋的方法就是利用 歷史紀錄 按鈕。當您不斷嘗試修正搜尋語法時,就可以利用這個功能。您可能會重複執行一些搜尋直到它所顯示的數據子集符合您的需求,這時您就可以在 歷史紀錄 找到先前執行的指令並與現在正在執行的搜尋指令做比較。您只需要在歷史紀錄中點選您要執行的指令,接著就會直接執行。若您喜歡搜尋的結果,您也可以將其儲存。如下圖:

0

OMS 中的警示管理

警示管理概觀 在 OMS 儀表板中可以看到警示管理的概觀。它會顯示出過去24小時的警示,並能讓您一眼看出是否需要立即性的關注。如下圖: 深入查看警示管理 在概觀中點選警示管理的磚後,可以看到畫面顯示出作用中的警示。您可以看到重大警示、警告警示、和這些警示的來源,並更深入的檢視它們。此儀表板顯示了詳細的資訊,並且能快速收集多個不同系統的警示並做整合。 檢視重大警示 在下圖範例中,有291個重大警示,其中可以看到有288個警示是關於 High CPU: 接著點選重大警示,畫面上會顯示出重大警示的種類和數量。您可以點選任何一個想詳細查看的警示,就能看到警世的個別事件。此範例點選 High CPU: 點選特定種類警示後,可以看到所有此種類警示的事件,您可以在點選[+]顯示較多,來查看詳細資訊: 深入查看警告 在下圖範例中可以看到有17個警告警示與 Operations Manager Failed to Access the Windows Event Log 有關。要詳細查看警示內容,點選 Operations Manager Failed to Access the Windows Event Log,便會自動搜尋出所有此警示的事件,可以再點選[+]顯示較多查看詳細資訊,並利用 Alert Description 瞭解警示內容來除錯:

0

過濾 OMS 搜尋回傳的資料

用 EventID 過濾 SecurityEvents 若現在有一個很基本的搜尋:Type=SecurityEvent,您可以查看個別事件的詳細資訊。在此範例中,可以看到一個 Activity 4625,並顯示了有一個帳戶登入失敗。   接著要深入查尋 EventID 為 4625 的事件,運用以下搜尋指令: Type=SecurityEvent  EventID=4625 搜尋結果顯示在過去的一天內有 423K 個結果。您可以在畫面左手邊上下拉動查看搜尋資料:   您可以選擇任何想要查看的 SecurityEvent 屬性,藉由加入 Measure 指令。您也可以選擇您想要測量的東西,包含以下幾種:Count、Max、Min、Sum、Avg、和 Stddev。此範例選擇 Count。 而要計算什麼呢?此範例計算了登錄失敗的個別帳戶,利用以下指令: Type=SecurityEvent  EventID=4625 | measure count() by Account 執行搜尋時,會透過一個長條圖來顯示登錄失敗的聚合值:   此範例示範的是客製化的搜尋結果,而這個結果數據一樣可以輸出並用 Excel 開啟,只需點擊畫面左上的匯出即可。匯出結果如下圖:

0

利用 OMS 搜尋查詢事件記錄資料

概要:此文提供利用 OMS 搜尋工具從眾多伺服器中查詢 Windows 事件記錄的步驟指示。 利用 OMS 查詢特定事件記錄 在示範環境中具有眾多伺服器,且每一台都已安裝了 OMS Agent,因此可以快速的從中搜尋特定的事件記錄。只需要指定 Eventlog 的關鍵字並指定記錄名稱。以下範例是從環境中所有電腦的事件記錄中搜尋並會回傳資料(預設為過去7天內): EventLog=Application 也可以輸入: EventLog:Application 下圖是搜尋畫面和結果: 預設中,查詢使用了 AND。若為 EventLevelName (事件記錄中的屬性,能夠表示像是資訊、警示、或錯誤層級) 增加過濾,便會在過濾後回傳 Application event log 記錄和 Warning event level: EventLog:Application EventLevelName=Warning 也可以輸入: EventLog:Application EventLevelName:Warning 以下是範例畫面: 管理 200 萬筆回傳記錄 現在,已經能夠輕鬆地從來自伺服器的所有 application logs 中找到 Warning 記錄,接著需要管理並消化如此龐大的記錄量。 要做到這點,需要將結果傳遞到關鍵字 Measure。 在每台電腦的基礎上顯示警示訊息的數量是有意義的,這能夠幫助縮小範圍查看警示消息數量異常的電腦。 將結果傳遞到 Measure 指令並讓其 count(),再告訴它是要計算 Computer。以下是指令和範例畫面: EventLog:Application EventLevelName:Warning | Measure count()…

0

利用 OMS 搜尋追蹤關機事件

概要:學習如何利用 OMS 尋找並解析伺服器關機事件。 搜尋關機事件 若直接搜尋 shutdown,會對整個環境搜尋包含 shutdown 的名稱、描述。此搜尋回傳了超過四千個事件,但這遠超過了我搜尋的目的: 利用事件來源追蹤 Shutdown Event Tracker 功能會從 User32 來源產生事件並寫道系統的事件記錄中。因此在搜尋時利用 User32 來源為系統事件記錄過濾事件種類。以下是搜尋指令和範例搜尋畫面: shutdown Type=Event EventLog=System Source=User32 可以看到有120個搜尋結果。您可以下拉或是在畫面左邊快速瀏覽資訊。在此範例中可以看到有兩個 event level:118個 information events 和 2 個警示。 一般來說,對於警示訊息都會較有興趣,因此首先依照 EventLevelName 分組: shutdown Type=Event EventLog=System Source=User32 | measure count() by EventLevelName 以下搜尋畫面和回傳的資料:   若在搜尋結果點選 Warning,搜尋指令會變成: shutdown Type=Event EventLog=System Source=User32 EventLevelName=warning 點開第一個記錄,可以看到是 RANDS\Administrator 發生了預期外的關機:

0

結合OMS Security 與 Microsoft Advanced Threat Analytics

現在,OMS Security 能夠與 Microsoft Advanced Threat Analytics 有基本的結合。此結合是基於 Microsoft Advanced Threat Analytics 所提供的事件記錄。此功能的好處是,您可以在 OMS 儀表板同時看到 Microsoft Advanced Threat Analytics 所觸發的可疑活動和與 OMS Security 相關的其他偵測。 微軟對於兩者的結合有了新的進步,目的在於針對基於 Advanced Threat Analytics Syslog 的可疑事件能夠有更詳細的解說。在以下的範例中,Advanced Threat Analytics 的入口網站顯示了一個可疑的活動表示意圖執行暴力的攻擊。 若此 Advanced Threat Analytics 與 OMS Security 做結合,下圖就是您會在 OMS Security 的事件記錄中所看到的活動紀錄:   雖然這個記錄提供了一些有價值的資訊,但新功能的記錄體驗會提供對可疑活動更詳細的資訊,如下圖:   想要配置此結合,請參照以下步驟: 1. 在 Advanced Threat Analytics 的入口網站,點選畫面左邊的 Syslog server。在 Syslog server endpoint 輸入 127.0.0.7 (必須是此位址),並在 port…

0