如何解决Cisco ASA 并发 VPN 用户 - KQL / Azure Sentinel 中的时间表
我需要制作连接到我的 Cisco ASA 的 并发 VPN 用户 的时间表,如下面的屏幕截图所示:
look! here is "the perfect" timechart in splunk
此处的另一个时间表截图:https://drive.google.com/file/d/1dW8nyG3dz3GbPiXuiXZofuhccoHpEHSP/view?usp=sharing
在 splunk 中,这里发布的令人敬畏的查询使之成为可能: https://community.splunk.com/t5/Splunk-Search/Concurrent-Active-VPN-Sessions-on-a-Timechart/m-p/493141#M137524
如果我必须使用相同的逻辑来达到预期的结果,我只需要您的帮助将上述 splunk 查询的以下部分转换为 KQL:
| sort 0 _time
| eval time2=_time
| bin span=20m time2
| eval time2=if(status="disconnected",NULL,time2)
| eval _time=coalesce(time2,_time)
| streamstats count(eval(status="assigned")) as session by user
| stats values(eval(if(status="assigned",round(_time),NULL))) as start values(eval(if(status="disconnected",NULL))) as end by user session
| eval timerange=mvrange(start,end,1200)
| mvexpand timerange
| rename timerange as _time
| timechart span=20m count(user)
预期输出(来自 splunk):https://drive.google.com/file/d/11F5p_zOGlgenIqVsToXiPlL2UplSIRNa/view?usp=sharing
示例数据(来自 Sentinel,已解析): https://drive.google.com/file/d/1wzansi1MfCnUylNHSeUHiw8POIxzS4q_/view?usp=sharing
是的,我们不得不从 splunk 切换到 Azure Sentinel。 (不要问为什么。)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。