event
Logpresso Sonarでシナリオをベースに検知したイベント一覧を取得します。取得時間範囲、並び順、フィルター条件を指定できます。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | カウントあり |
| 並列実行 | 非対応 |
| 分散実行 | 非対応 |
構文
event [duration=INT{s|m|h|d|mon}] [from=STR] [to=STR] [order={asc|desc}] [raw={t|f}] [FILTER_EXPR] [from TABLE, ...]
オプション
duration=INT{s|m|h|d|mon}- 現在時刻から一定時間範囲内のイベントに取得範囲を限定します。
s(秒)、m(分)、h(時)、d(日)、mon(月)単位で指定できます。 from=STR- 取得範囲の開始時刻。
yyyyMMddHHmmss形式で指定します。末尾の桁を省略すると0で補完されます。 to=STR- 取得範囲の終了時刻。
yyyyMMddHHmmss形式で指定します。末尾の桁を省略すると0で補完されます。 order={asc|desc}- イベント取得の順序
asc: 古いデータから取得desc: 新しいデータから取得
raw={t|f}- イベントを発生させた元のログを取得するかどうか。
tを指定するとイベントの代わりに元のログを取得します。(デフォルト:f)
対象
[FILTER_EXPR]- 全文検索フィルター式。指定しない場合はすべてのイベントを取得します。
[from TABLE, ...]- 取得するテーブル名。カンマ(
,)で区切って複数のテーブルを指定できます。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_time | string | イベント発生日時 |
guid | string | イベントGUID |
ticket_guid | string | チケットGUID |
logger_id | integer | ロガーID |
logger_name | string | ロガー名 |
priority | string | 重大度。LOW、MEDIUM、HIGH |
rule_type | string | 検知ルールタイプ。STREAM、BATCH |
rule_id | integer | 検知ルールID |
rule_name | string | 検知ルール名 |
user | string | アカウント名 |
host_ip | ipaddr | ホストIPアドレス |
src_ip | ipaddr | 送信元IPアドレス |
src_country | string | 送信元国 |
src_port | integer | 送信元ポート |
dst_ip | ipaddr | 宛先IPアドレス |
dst_country | string | 宛先国 |
dst_port | integer | 宛先ポート |
protocol | string | プロトコル。TCP、UDP、ICMPなど |
action | string | アクション |
msg | string | メッセージ |
field_order | string | フィールドの並び順 |
mail_from | string | メール送信者 |
mail_to | string | メール受信者 |
mail_cc | string | メールCC |
url | string | URL |
md5 | string | MD5ハッシュ |
site | string | サイト名 |
device_name | string | デバイス名 |
device_ip | ipaddr | デバイスIPアドレス |
エラーコード
解析エラー
| エラーコード | メッセージ | 説明 |
|---|---|---|
| term-not-found | term-not-found | フィルター式で検索語が見つからない場合 |
| unexpected-expr | unexpected-expr | フィルター式が正しくない場合 |
ランタイムエラー
N/A
説明
eventコマンドは、Sonarイベントテーブルからイベントを取得します。実行時にクエリプランナーがeventコマンドをtableまたはfulltextコマンドに変換して実行します。フィルター式がない場合はtableコマンドに、フィルター式がある場合はfulltextコマンドに変換されます。
取得結果には、ユーザーがアクセス許可されている検知ルールのイベントのみが含まれます。チケットリポジトリへのアクセス権限によって取得可能なイベントの範囲が決まります。
raw=tオプションを指定すると、イベントではなくイベントを発生させた元のログを取得します。
使用例
-
すべてのイベントを取得する
eventアクセス権限のあるすべてのイベントを取得します。
-
直近1時間のイベントを取得する
event duration=1h現在時刻から1時間以内のイベントを取得します。
-
時間範囲を指定して取得する
event from=20260301 to=202603022026年3月1日から3月2日までのイベントを取得します。
-
古いイベントから取得する
event duration=1d order=asc直近1日以内のイベントを古いデータから取得します。
-
フィルター条件で取得する
event duration=1h "login failed"直近1時間以内のイベントのうち「login failed」という文字列を含むイベントを取得します。
-
元のログを取得する
event duration=1h raw=t直近1時間以内のイベントを発生させた元のログを取得します。