過濾 OMS 搜尋回傳的資料
用 EventID 過濾 SecurityEvents
若現在有一個很基本的搜尋:Type=SecurityEvent,您可以查看個別事件的詳細資訊。在此範例中,可以看到一個 Activity 4625,並顯示了有一個帳戶登入失敗。
接著要深入查尋 EventID 為 4625 的事件,運用以下搜尋指令:
Type=SecurityEvent EventID=4625
搜尋結果顯示在過去的一天內有 423K 個結果。您可以在畫面左手邊上下拉動查看搜尋資料:
您可以選擇任何想要查看的 SecurityEvent 屬性,藉由加入 Measure 指令。您也可以選擇您想要測量的東西,包含以下幾種:Count、Max、Min、Sum、Avg、和 Stddev。此範例選擇 Count。
而要計算什麼呢?此範例計算了登錄失敗的個別帳戶,利用以下指令:
Type=SecurityEvent EventID=4625 | measure count() by Account
執行搜尋時,會透過一個長條圖來顯示登錄失敗的聚合值:
此範例示範的是客製化的搜尋結果,而這個結果數據一樣可以輸出並用 Excel 開啟,只需點擊畫面左上的匯出即可。匯出結果如下圖: