调查中心

5.1 检索

管理员可以根据需要对本系统存储的数据进行检索，实现安全威胁的调查与分析。

5.1.1 日志

进入日志检索页面，页面布局如图27-所示。管理员可以进行高级搜索，将日志导出或生成图表，还可以添加到调查任务

图27-日志检索页面

1、帮助文档/数据源单位

• 日志检索的在线帮助文档，提供三种搜索方式的语法说明。在线查看文档时，单击【下载文档】可将PDF文档下载到本地。

• 在基础版或旗舰版的级联部署模式下，可以切换数据源单位进行日志搜索（本操作仅限超级管理员）。

2、日志搜索框

• 支持时间范围、日志类型和lucene查询语句进行日志搜索；单击【高级搜索】可以通过字段进行更精确的搜索。操作方法详见日志普通/高级检索。

• 单击【保存搜索】可以将当前搜索条件保存为搜索模板，以便于之后的搜索操作；单击【打开搜索】可以直接调用搜索模板并对其进行管理。操作方法详见日志检索模板。

3、日志统计柱状图 展示了符合搜索条件的日志在时间维度上的分布情况，包括时间范围、搜索用时和日志数量。将鼠标悬浮在柱状图上可显示具体时间及其对应的日志数量。

4、日志展示字段配置区 配置日志列表的展示字段，分为展示字段区和隐藏字段区。操作方法详见日志展示字段。

5、日志列表 以列表形式展示了符合搜索条件的日志详情，操作方法详见日志列表。

5.1.1.1 日志普通/高级检索

• 日志普通检索

• 检索条件1：时间范围和日志类型

日志搜索时，时间范围和日志类型不能为空，如图28-图29-所示。默认情况下，时间范围是“近24小时”，日志类型是“全部事件”。

图28-日志时间范围选项

图29-日志类型选项

检索条件2：标签 通过标签可以进行更精确的日志搜索，同时支持标签的全部清空功能，如图30-图31-所示。

图30-日志标签（设置多个标签）

图31-日志标签（全部清空）

检索条件3：lucene查询语句 除了以上几个搜索条件，还可以直接输入lucene查询语句进行搜索，如图32-所示。

图32-日志检索（lucene查询语句）

日志高级检索 进行日志高级检索之前，系统会清空搜索框中的日志标签。 单击【高级检索】，可以设置多个搜索条件并匹配字段进行日志搜索，如图33-所示。

图33-日志高级检索

说明：

关于lucene查询语句的更多介绍，详见官方网址：https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html

5.1.1.2 日志检索模板

本系统支持检索模板的复用，可以将常用的检索场景进行保存，减少管理员重复操作。

• 保存检索模板

  单击【保存搜索】填写搜索模板名称，即可将当前的检索条件存储为日志搜索模板，如图34-所示。

  

  图34-保存日志检索模板

打开检索模板 单击【打开搜索】单击某个日志搜索模板，即可快速检索，如图35-所示。

图35-打开日志检索模板列表

5.1.1.3 日志展示字段

可通过字段的展示/隐藏来控制日志列表的展示内容。

• 展示字段

  展示字段，即日志列表的表头。若不想该字段出现在日志列表，单击字段旁边的图标即可下移到隐藏字段区域，如图36-所示。

  

  图36-日志展示字段区域

• 隐藏字段

  单击隐藏字段旁边的图标即可上移到展示字段区域，该字段出现在日志列表的表头，操作方法与展示字段的基本相同。

• 搜索字段

  在日志展示字段配置区，可以进行字段的模糊搜索，如图37-所示。

  

  图37-搜索日志字段

  查看字段值列表

  单击某个展示字段名，显示该字段的日志数与占比TOP10，单击【下载】可以将当前日志字段值的全部内容导出为Excel文件，如图38-所示。

  若字段值超过10个，单击【查看全部】即可查看所有字段值。对于源IP和目的IP，还可以单击图标进行字段值的过滤、排除、新建搜索和新建资产。

  

  图38-日志字段值列表

5.1.1.4 日志列表

如图39-所示，符合搜索条件的日志出现在日志列表中，可以查看每个日志的Table和Json，也可以将所选日志导出、创建调查任务或添加到调查任务中。 单击))可以全屏展示日志列表；若日志字段太多导致日志列表查看不便，可单击将所有字段内容切换到列表中显示，如图40-所示。

图39-日志列表

图40-日志列表表头切换显示