在源代码模式下搜索事件

在源代码模式下定义事件搜索条件：

1. 在应用程序 Web 界面窗口中，选择威胁搜索部分，源代码选项卡。

   这将打开一个表单，其中包含用于在源代码模式下输入事件搜索条件的字段。

2. 使用条件、运算符、逻辑运算符 OR 和 AND 以及分组条件的括号输入事件搜索条件。

   搜索条件必须符合以下语法：<条件> <运算符> <条件值>。

   示例： EventType = "filechange" AND ( FileName CONTAINS "example" OR UserName = "example" )

3. 如果要在编辑器窗口中隐藏换行特殊字符，请单击将特殊字符转换为换行符。如果要显示换行符，请单击将换行符转换为特殊字符。

   当使用由多个条件值组成的复杂搜索条件时，在源代码编辑窗口中，每个条件值必须另起一行。为了显示换行，Kaspersky Anti Targeted Attack Platform 使用行分隔符特殊字符 (^r ^n)。若要正确执行事件搜索，必须确保行分隔符特殊字符排列正确。

4. 如果您想搜索在特定时段内发生的事件，请单击任何时候按钮并选择以下某个事件搜索时段：
   • 任何时候，如果您希望表显示最早发现的记录的事件。
   • 上一个小时，如果您希望表格显示在最后一个小时内找到的事件。
   • 最后一天，如果您希望表格显示在最后一天内找到的事件。
   • 自定义范围，如果您希望表格显示在指定时段内找到的事件。
5. 如果您选择了自定义范围:
   1. 在打开的日历中，指定事件显示范围的开始和结束日期。
   2. 单击应用。

   日历关闭。

6. 单击搜索。

   满足搜索条件的事件表将显示。

   如果您使用分布式解决方案和多租户模式，找到的事件将按层分组：服务器 – 租户名称 – 服务器名称。

   

   Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。

   

   安装有中央节点组件的服务器的两层架构。此架构分配主控制服务器 （主中央节点 (PCN)）和从属服务器（辅助中央节点 (SCN)）。

7. 单击要查看其事件的服务器的名称。

   所选服务器的主机表将显示。事件分组级别显示在表格上方。

另请参阅 事件数据库威胁追踪 在设计模式下搜索事件 对表中的事件进行排序 更改事件搜索条件 按 EPP 应用程序中的处理结果搜索事件 上传 IOC 文件并根据 IOC 文件中定义的条件搜索事件 根据事件搜索条件创建 TAA (IOA) 规则

页面顶部