Поиск событий в режиме исходного кода

Чтобы задать условия поиска событий в режиме исходного кода, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Поиск угроз, закладку Редактор кода.

   Откроется форма с полем ввода условий поиска событий в режиме исходного кода.

2. Введите условия поиска событий, используя команды, логические операторы OR и AND, а также скобки для создания групп условий.

   Команды должны соответствовать следующему синтаксису: <тип поля> <оператор сравнения> <значение поля>.

   Пример: EventType = "filechange" AND ( FileName CONTAINS "example" OR UserName = "example" )

3. Если вы хотите выполнить поиск событий за определенный период, нажмите на кнопку За все время и выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы программа отображала в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы программа отображала в таблице события, найденные за указанный вами период.
4. Если вы выбрали период отображения найденных событий Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

5. Нажмите на кнопку Найти.

Отобразится таблица событий, соответствующих условиям поиска.

См. также Поиск угроз по базе событий Поиск событий в режиме конструктора Изменение условий поиска событий Поиск событий по результатам их обработки в программах EPP Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле Создание пользовательского правила TAA (IOA) на основе условий поиска событий

В начало