Для ознакомления с основным языком SL Search Query Language проверьте https://help.sumologic.com/Search/Search-Query-Language, большинство запросов имеют область действия, нормализацию некоторого фильтра и затем агрегирование.
для примера запроса, который ищет злонамеренные логинысм. ниже:
_sourceCategory = O365/Azure
AND "\"UserLoginFailed\"" and !"UserDisabled"
| json field=_raw "UserId" as user_id
| json field=_raw "ClientIP" as src_ip
| lookup type, actor, raw, threatlevel as malicious_confidence from
sumo://threat/cs on threat=src_ip
| lookup latitude,longitude,country_name from geo://location on ip=src_ip
| where (!(country_name="United States") or (malicious_confidence =
"unverified" or malicious_confidence = "low" or malicious_confidence =
"medium" or malicious_confidence = "high" )
| count by user_id, malicious_confidence, country_name
| sort by _count
Для настройки оповещений по этому запросу см. https://help.sumologic.com/Dashboards-and-Alerts/Alerts/02-Schedule-a-Search
. Если вы только начинаете, я настоятельно рекомендую вам посмотреть видеообзоры по SL (1 и 2).на ютубе.https://www.youtube.com/watch?v=FO8mfZojb1c