转换生成器查询以在源代码模式下搜索事件

您可以将构建器中创建的查询转换为源模式下的事件搜索查询。

当查询被转换时，其语法将适应在源代码模式下搜索事件。

要转换查询：

1. 选择程序 Web 界面窗口中威胁搜索部分的生成器选项卡。

   这将打开事件搜索表单。

2. 在下拉列表中，选择事件搜索条件。

   您可以在“事件搜索条件”部分查看事件搜索条件描述。

3. 在下拉列表中，选择运算符。

   有关可用运算符的列表，请参阅“运算符”部分。

   每种类型的字段值都有其自己相关的一组运算符。例如，当选择 EventType 字段值类型时，= 和 != 运算符将可用。

4. 根据选定的字段值类型，执行以下操作之一：
   • 在该字段中，指定您想用于执行事件搜索的一个或多个字符。
   • 在下拉列表中，选择您想要执行事件搜索的字段值选项。

   例如，要根据用户名搜索完整匹配，请输入用户名。

5. 如果您想添加新条件，请使用 AND 或 OR 逻辑运算符并重复添加条件的必要操作。
6. 如果您想添加一组条件，请单击组按钮并重复添加条件所必需的操作。
7. 如果您想删除一组条件，请单击移除组按钮。
8. 如果您想搜索在特定时段内发生的事件，请在任何时候下拉列表中选择以下某个事件搜索时段：
   • 任何时候，如果您希望表显示最早发现的记录的事件。
   • 上一个小时，如果您希望表格显示在最后一个小时内找到的事件。
   • 最后一天，如果您希望表格显示在最后一天内找到的事件。
   • 自定义范围，如果您希望表格显示在指定时段内找到的事件。
9. 如果您选择了自定义范围:
   1. 在打开的日历中，指定事件显示范围的开始和结束日期。
   2. 单击应用。

   日历关闭。

10. 转到“源代码”选项卡。

    将显示一条警告，告知您转换不可逆。

11. 点击“转换”。

该查询被转换为以源代码模式搜索事件的查询。

页面顶部