OMS 中的多層級分組

概要： 學習如何透過 OMS 中的多個欄位進行分組。

在過去，您只能利用 OMS 搜尋語法，並利用一個欄位進行分組。新的功能讓您能夠透過多個欄位進行分組，讓您能夠執行更加進階的搜尋。

多層級分組

若您現在正在查看您環境電腦中的安全性事件，而您想要知道哪一台電腦的哪一個帳號有最多的失敗登入。在過去，您只能分別差看有最多登入失敗的電腦是哪一台再查看最多登入失敗的帳號是哪一個。現在有了多層級分組，您便可以執行以下指令：

Type=SecurityEvent EventID=4625 | measure count() by TargetAccount, Computer

若有帳號在多台電腦上都有失敗的登入，此結果會顯示出來。這使得辨識潛在安全性漏洞變得更加容易。

您甚至可以再深入一層，來找出這些登入中，哪種的登入(例如：network、interactive)有被使用。

Type=SecurityEvent EventID=4625 | measure count() by TargetAccount, Computer, LogonType

利用 Interval 進行多層級分組

此新功能也能夠使用 Interval 搜尋。若您現在要查看您電腦中的一個群組的平均 CPU 和可使用的記憶體。在過去，您只能在一些電腦中查看一個特定的計數器，或是為一台電腦查看所有的計數器。此新功能能夠讓您在一張圖表上查看多台電腦的多個計數器，這將幫助您關聯不同的指標，進而使故障排除更加容易。以下搜尋指令會比較以 10 分鐘為間隔，一個電腦群組中的平均 CPU 和可用的記憶體。

Type:Perf (CounterName="% Available Memory") OR (ObjectName=Processor AND CounterName="% Processor Time")  Computer IN $ComputerGroups[TamagoCluster] | measure avg(CounterValue) by Computer, CounterName Interval 10minutes

從上圖可以看到，在圖表下方的圖例是以類似樹狀的方式呈現。您可以點選它們來 折疊/展開。您也可以隱藏/不隱藏任何一個群組。在以下案例中，最後兩個群組並沒有被選取，因此沒有呈現在圖表中。要不選取任一群組，您只要將游標移到該群組的名稱，便可以看到右方出現 SELECT ALL / SELECT NONE，點選 SELECT NONE 來隱藏圖表中該群組的曲線。如下圖：

您也可以在多個匯集時執行多層級分組。在先前的案例中，若要同時查看一套電腦中的平均 CPU 和最大記憶體。可以執行以下指令：

Type:Perf (CounterName="% Available Memory") OR (ObjectName=Processor AND CounterName="% Processor Time")  Computer IN $ComputerGroups[TamagoCluster]| measure avg(CounterValue) as AVG, max(CounterValue) as MAX by Computer, CounterName Interval 10minutes