키워드 선택 및 선택 해제를 사용하여 열 제어
검색 및 대시보드에서 select 및 unselect 키워드를 사용하여 검색의 결과 탭에 있는 이벤트 표와 대시보드 위젯 내 표에 표시되는 열을 맞춤설정할 수 있습니다.
기본 열은 타임스탬프와 이벤트이며 항상 표시됩니다. select 및 unselect 키워드는 각각 Event 열 옆에 열을 추가하고 삭제합니다.
select: 지정된 열을 Events 테이블에 추가합니다.unselect: 이벤트 표에서 지정된 열을 삭제합니다.
이러한 키워드는 이벤트 표시 방식만 변경합니다.
사용 예시
이 섹션의 예에서는 검색 쿼리에서 select 및 unselect 키워드를 사용하는 일반적인 구문을 보여줍니다.
예를 들어 다음 쿼리는 alex-laptop에 연결된 이벤트를 검색하고 security_result.about.email을 Events 테이블에 열로 추가합니다.
none
principal.hostname = "alex-laptop"
limit: 10
select: security_result.about.email
다중 열 예
이벤트 표에는 target.asset.hostname이 첫 번째 열로 포함됩니다 (타임스탬프 및 이벤트 열 다음).
예를 들어 여러 열을 추가할 수 있습니다.
principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email
결과 변수 예시
select 키워드와 함께 변수를 사용할 수 있습니다. 다음 예시에서는 $seconds을 metadata.event_timestamp.seconds 통합 데이터 모델 (UDM) 필드 값과 동일한 결과 변수로 선언합니다. 그런 다음 select 키워드를 사용하여 지정할 수 있으며 Seconds 값은 열 중 하나로 표시됩니다.
principal.hostname = "alex-laptop"
outcome:
$seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email
집계 및 이벤트 예
select 및 unselect 섹션은 상호 배타적이며 사용자가 결과 변수, 일치 변수, 이벤트 필드 또는 항목 필드를 포함하거나 제외할 수 있습니다.
모든 UDM 검색은 단일 이벤트 검색 또는 집계 검색 (이벤트 통계라고도 함)입니다. 집계 검색은 match 키워드를 지정하거나 출력에서 집계 함수 (예: sum 또는 count)를 사용합니다.
단일 이벤트 검색
이 예시에서는 metadata.event_timestamp 열을 추가합니다.
events:
principal.hostname = "alex-laptop"
metadata.event_type = "NETWORK_CONNECTION"
select:
metadata.event_timestamp
집계된 검색
이 예시에서는 $hostname 및 $count_id을 나타내는 열이 Events 테이블에 추가됩니다.
events:
$e.metadata.event_type != "RESOURCE_CREATION"
$e.principal.hostname = $hostname
$id = $e.network.session_id
match:
$hostname over 1h
outcome:
$count_hostname = count($hostname)
$count_id = count($id)
unselect:
$count_hostname
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.