Поиск событий в режиме исходного кода
Чтобы задать условия поиска событий в режиме исходного кода, выполните следующие действия:
- В окне веб-интерфейса программы выберите раздел Поиск угроз, закладку Редактор кода.
Откроется форма с полем ввода условий поиска событий в режиме исходного кода.
- Введите условия поиска событий, используя команды, логические операторы
OR и AND, а также скобки для создания групп условий.Команды должны соответствовать следующему синтаксису: <тип поля> <оператор сравнения> <значение поля>.
Пример:
EventType = "filechange"
AND (
FileName CONTAINS "example"
OR UserName = "example"
)
|
- Если вы хотите выполнить поиск событий за определенный период, нажмите на кнопку За все время и выберите один из следующих периодов поиска событий:
- За все время, если вы хотите, чтобы программа отображала в таблице события, найденные за все время.
- Прошедший час, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий час.
- Прошедшие сутки, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий день.
- Пользовательский диапазон, если вы хотите, чтобы программа отображала в таблице события, найденные за указанный вами период.
- Если вы выбрали Пользовательский диапазон, выполните следующие действия:
- В открывшемся календаре укажите даты начала и конца периода отображения событий.
- Нажмите на кнопку Применить.
Календарь закроется.
- Нажмите на кнопку Найти.
Отобразится таблица событий, соответствующих условиям поиска.
Если вы используете режим распределенного решения, отобразятся уровни группировки найденных событий: Сервер – Названия организаций – Имена серверов.
- Нажмите на имя того сервера, события по которому вы хотите просмотреть.
Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.
В начало