轉換產生器查詢以在原始碼模式下搜尋事件

您可以將建構器中建立的查詢轉換為來源模式下的事件搜尋查詢。

當查詢被轉換時，其語法將適應在原始碼模式下搜尋事件。

要轉換查詢：

1. 選擇程式 Web 介面視窗中威脅搜尋部分的產生器頁簽。

   這將開啟事件搜尋表單。

2. 在下拉清單中，選擇事件搜尋條件。

   您可以在“事件搜尋條件”部分檢視事件搜尋條件描述。

3. 在下拉清單中，選擇運算子。

   有關可用運算子的清單，請參閱“運算子”部分。

   每種類型的欄位值都有其自己相關的一組運算子。例如，當選擇 EventType欄位值類型時，=和!=運算子將可用。

4. 根據選定的欄位值類型，執行下列操作之一：
   • 在該欄位中，指定您想要用於執行事件搜尋的一個或多個字元。
   • 在下拉清單中，選擇您想要執行事件搜尋的欄位值選項。

   例如，要根據使用者名稱搜尋完整匹配，請輸入使用者名稱。

5. 如果您想要新增條件，請使用 AND或OR邏輯運算子並重複新增條件的必要操作。
6. 如果您想要新增一組條件，請點擊群組按鈕並重複新增條件所需的操作。
7. 如果您想刪除一組條件，請點擊移除群組按鈕。
8. 如果您想搜尋在特定時段內發生的事件，請在任何時候下拉清單中選擇以下某個事件搜尋時段：
   • 任何時候，如果您希望表格顯示最早發現的記錄的事件。
   • 上一個小時，如果您希望表格顯示在最後一小時內找到的事件。
   • 最後一天，如果您希望表格顯示在最後一天內找到的事件。
   • 自訂範圍，如果您希望表格顯示在指定時段內找到的事件。
9. 如果您選擇了自訂範圍:
   1. 在開啟的日曆中，指定事件顯示範圍的開始和結束日期。
   2. 點擊套用。

   日曆關閉。

10. 轉到“原始碼”頁簽。

    將顯示警告，告知您轉換不可逆。

11. 點擊“轉換”。

該查詢被轉換為以原始碼模式搜尋事件的查詢。

頁面頂部