OMS 記錄搜尋中的縮小

概要:學習縮小是如何統整搜尋結果並讓其變得更好理解。 縮小將紀錄搜尋結果分組來減少雜訊並產生一個統整的視圖。您只需在記錄搜尋的結果上方點選"縮小",便會縮小搜尋結果。如下圖:   下圖是過去24小時縮小後的事件記錄:   從範例中可以看到縮小出了1272個不同的事件群組。這是一個很好統整結果的方法。 您可以利用選取敏感度的橫桿調整群組中事件的相似程度。敏感度越低,就越多事件會被分類在同一個群組中。然而若是將敏感度調得太低,將可能會把沒什麼關聯性的世間分在同一個群組,導致分組變得無效。   縮小也會偵測您的事件和群組事件中相似的變數,您可以點擊藍色的 “*" 來查看。點擊後您還可以任意點擊一個事件來深入查看其詳細資料。而若要查看所有完整的資料,可以點選上方的 [顯示較多]。

0

設定 OMS 警示來偵測可疑的可執行文件

概要:學習如何跟著步驟設定警示來偵測可疑的可執行文件。 可疑的可執行文件警示 Security Event 8002 在處理執行時就會回報。此事件回報了許多有用的資訊像是 path、process name、file hash、甚至是 FQBN。 Note: FQBN 是 Fully Qualified Binary Name 的縮寫,它是一個字串包含了:publisher\product\file name\version。 一個簡單回報 Security Event 8002 的搜尋指令如下: Type=SecurityEvent EventID=8002   接著要加入FQBN。OMS 記錄搜尋對指令是很敏感的,因此在輸入指令時有兩點需要注意。首先,必須輸入正確的大小寫: Fqbn,若輸成 FQBN 將會跳出錯誤,如下圖:   再者,* 這個符號被視為是文字字符,而非通用的字符,因此若執行下圖的輸入,雖然不會造成錯誤產生,但也無法成功搜尋到資料:   正確的指令應為: Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT* Note: MICROSOFT 也是一個敏感的字,若輸入 *Microsoft* 將不會回傳任何資料。 執行結果在左側詳細資料中並不會顯示 Fqbn。要顯示出 Fqbn,需先點擊左下角的 [+新增],接著在列表中找到 Fqbn 並勾選: 完成後按下右上角的 x 即可在左方看到配對 *MICROSOFT* 的 Fqbn 總覽。如下圖: Measure…

0

OMS 中依據需求的指標之集合和視覺化

概要:在 MS OMS 中依據需求對任何指標數據做集合並將其視覺化。 隨時間依據需求的指標集合 有了接近即時的性能數據的收集,您可以收集並視覺化任何 OMS 中的性能計數器。在記錄搜尋中輸入:Type:Perf ,將會回傳上千個基於您 OMS 環境中的計數器和伺服器數量的指標圖表。有了依據需求的指標集合,您可以在更高處查看總體指標,並依需求深入瞭解更多資訊。 現在假設想要知道在您所有電腦的平均 CPU,一台一台查看每台的平均 CPU 是沒有太大的效果的。想要查看細節,您可以將您的結果集合成一個小的時間視窗,並依據不同比例和時間序列來查看。例如,您可以呈現出您所有電腦每小時的平均 CPU 用量,指令和結果如下: Type:Perf CounterName=”% Processor Time” InstanceName=”_Total” | measure avg(CounterValue) by Computer Interval 1HOUR 這個方法有多種好處。首先,您可以輕易的比較多台電腦並查出哪台有問題。再者,您可以看到在哪個時間間隔電腦遭遇到問題(例如 CPU 尖峰)。也就是說,您可以一眼看到多種不同的問題以方便您做故障排除。 圖表是互動式的,您可以藉由點擊和拖拉圖表來放大查看有興趣的區域。 在您放大之後,只需點選  Reset Zoom 便會回到原始的畫面。 您也可以隱藏特定的類別,只需點擊下方該類別的圖示即可。 隱藏後只需再次點擊該圖示便會重新顯示。 若您想要詳細查看數據的特定圖表(例如:電腦。),您可以點擊圖示旁的搜尋圖標,便會自動跳到特定的圖表。 您也可以依其他領域分組。在此範例中,將會搜尋特定電腦的所有 % 計數器,並查出每小時每個計數器的 70 percentiles。指令和結果如下: Type:Perf Computer=beefpatty4 CounterName=%* InstanceName=_Total | measure percentile70(CounterValue) by CounterName Interval 1HOUR…

0

利用 OMS 記錄搜尋功能來回報自訂的 OMS 警示

搜尋警示 大家應該都知道可以利用 OMS 記錄搜尋功能來搜尋警示,但除此之外,此功能還能搜尋自訂的警示。如此一來便能依照自己的需求列出一段時間內自訂警示的結果。 若想要警示,可以利用以下指令: Type=Alert 此搜尋為通用搜尋警示的指令,執行結果如下:   若我想要搜尋我自訂的 OMS 警示,只需在指令後方加上來源即可。利用關鍵字  SystemSource 並指定來源是 OMS。指令如下: Type=Alert SourceSystem=OMS 執行結果如下:   現在瞭解如何搜尋自訂的警示後,還可以再增加指令過濾以查看更深入的資訊。 例如,若我想要深入查看我昨天寫的 Suspicious Executables 搜尋,只需在指令後加上關鍵字 AlertName 並讓其等於 “Suspicious Executables"。指令如下: Type=Alert SourceSystem=OMS AlertName:"Suspicious Executables" 執行結果如下:   此指令的其中一項好處是,它會回傳用來建立警示的指令並將其放在第一位,而這是一個很好的故障排除技巧。  

0