执行以下搜索的最有效方法是什么?
- 事件在X时刻发生在索引A上
- 取X时间作为索引B的起始点
- 在索引a发生的初始事件时间5分钟后,使用额外的过滤器搜索索引B中某个字段的所有出现
使用Windows日志的示例:在主机上的特定用户通过事件ID 4624 (index="security")成功登录后,搜索该主机上所有Sysmon事件ID 1 (index=" Sysmon ")进程创建事件,这些事件发生在登录事件后的5分钟窗口内。我的设想是检查特定主机上的用户登录,并在短时间内关联随后的进程创建事件。
我一直在尝试玩join, stats min(_time)和eval starttimeu,但没有任何成功。任何帮助/指示将非常感激!
您试过map吗?map命令对另一个搜索的每个结果执行搜索。例如:
index=security sourcetype=wineventlog EventCode=4624
```Set the latest time for the map to event time + 5 minutes (300 seconds)```
| eval latest=_time+300
| map search="search index=sysmon host=$host$ earliest=$_time$ latest=$latest$"
$中的名称是主搜索中的字段名称。