调查中心
最近更新时间: 2024-10-17 17:10:00
1 检索
管理员可以根据需要对本系统存储的数据进行检索,实现安全威胁的调查与分析。
1.1 日志
进入日志检索页面,页面布局如图27-所示。管理员可以进行高级搜索,将日志导出或生成图表,还可以添加到调查任务
图27-日志检索页面
1、帮助文档/数据源单位
日志检索的在线帮助文档,提供三种搜索方式的语法说明。在线查看文档时,单击【下载文档】可将PDF文档下载到本地。
在基础版或旗舰版的级联部署模式下,可以切换数据源单位进行日志搜索(本操作仅限超级管理员)。
2、日志搜索框
支持时间范围、日志类型和lucene查询语句进行日志搜索;单击【高级搜索】可以通过字段进行更精确的搜索。操作方法详见日志普通/高级检索。
单击【保存搜索】可以将当前搜索条件保存为搜索模板,以便于之后的搜索操作;单击【打开搜索】可以直接调用搜索模板并对其进行管理。操作方法详见日志检索模板。
3、日志统计柱状图
展示了符合搜索条件的日志在时间维度上的分布情况,包括时间范围、搜索用时和日志数量。将鼠标悬浮在柱状图上可显示具体时间及其对应的日志数量。
4、日志展示字段配置区
配置日志列表的展示字段,分为展示字段区和隐藏字段区。操作方法详见日志展示字段。
5、日志列表
以列表形式展示了符合搜索条件的日志详情,操作方法详见日志列表。
1.1.1 日志普通/高级检索
日志普通检索
检索条件1:时间范围和日志类型
日志搜索时,时间范围和日志类型不能为空,如图28-图29-所示。默认情况下,时间范围是“近24小时”,日志类型是“全部事件”。
图28-日志时间范围选项
图29-日志类型选项
- 检索条件2:标签
通过标签可以进行更精确的日志搜索,同时支持标签的全部清空功能,如图30-图31-所示。
图30-日志标签(设置多个标签)
图31-日志标签(全部清空)
- 检索条件3:lucene查询语句
除了以上几个搜索条件,还可以直接输入lucene查询语句进行搜索,如图32-所示。
图32-日志检索(lucene查询语句)
- 日志高级检索
进行日志高级检索之前,系统会清空搜索框中的日志标签。
单击【高级检索】,可以设置多个搜索条件并匹配字段进行日志搜索,如图33-所示。
图33-日志高级检索
说明:
关于lucene查询语句的更多介绍,详见官方网址:https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html
1.1.2 日志检索模板
本系统支持检索模板的复用,可以将常用的检索场景进行保存,减少管理员重复操作。
- 保存检索模板
单击【保存搜索】填写搜索模板名称,即可将当前的检索条件存储为日志搜索模板,如图34-所示。
图34-保存日志检索模板
- 打开检索模板
单击【打开搜索】单击某个日志搜索模板,即可快速检索,如图35-所示。
图35-打开日志检索模板列表
1.1.3 日志展示字段
可通过字段的展示/隐藏来控制日志列表的展示内容。
- 展示字段
展示字段,即日志列表的表头。若不想该字段出现在日志列表,单击字段旁边的图标即可下移到隐藏字段区域,如图36-所示。
图36-日志展示字段区域
- 隐藏字段
单击隐藏字段旁边的图标即可上移到展示字段区域,该字段出现在日志列表的表头,操作方法与展示字段的基本相同。
- 搜索字段
在日志展示字段配置区,可以进行字段的模糊搜索,如图37-所示。
图37-搜索日志字段
- 查看字段值列表
单击某个展示字段名,显示该字段的日志数与占比TOP10,单击【下载】可以将当前日志字段值的全部内容导出为Excel文件,如图38-所示。
若字段值超过10个,单击【查看全部】即可查看所有字段值。对于源IP和目的IP,还可以单击图标
进行字段值的过滤、排除、新建搜索和新建资产。
图38-日志字段值列表
1.1.4 日志列表
如图39-所示,符合搜索条件的日志出现在日志列表中,可以查看每个日志的Table和Json,也可以将所选日志导出、创建调查任务或添加到调查任务中。
单击
))可以全屏展示日志列表;若日志字段太多导致日志列表查看不便,可单击
将所有字段内容切换到列表中显示,如图40-所示。
图39-日志列表
图40-日志列表表头切换显示