safe3 - Online Help Document > SAFE3.0 操作手冊 v1.6 > 搜尋


1. 搜尋來源

各種日誌對應的索引如下:

(1)     metricbeat-*代表主機本身的系統監控日誌。

(2)     weblog-*代表主機本身的網頁行為紀錄。

(3)     restored-safe3r2-*代表Safe3.0所回存的資料。

(4)   safe3r2-*代表safe3 是使用者的日誌資料。

2. 關鍵字搜尋

以下說明關鍵字搜尋使用方式。

2-1. 關鍵字搜尋基本語法

(1)   字串查詢:由一個或多個單詞或短語組成,短語須使用雙引號包圍,例如:"test search" 

(2)   特定欄位查詢:SAFE3.0R2支援搜索特定欄位,例如:EventID4726

(3)   正規表達式查詢:SAFE3.0R2支援萬用字元,讓使用者可以使用不確定的字串方式進行查詢,例如:*:多個任意字元。例如 mana*,代表mana為開頭的字串,「?」:單獨任意字元。例如:te?t,代表testtext等字串。

(4)   範圍查詢:SAFE3.0R2支援範圍查詢,根據使用的括號類型決定包括或排除邊界,例如:響應時間:[10 TO *],代表響應時間大於或等於10的所有事件,響應時間:{10 TO *},代表響應時間大於10的所有事件。

(5)   運算符:運算符包含ANDORNOT,透過運算符可組合多個子查詢,例如:NOT EventID4726,代表除EventID4726之外的所有事件。

2-2. 關鍵字搜尋範例

以查詢最近30Windows帳號創建及帳號刪除事件日誌為例,建立查詢條件步驟如下:

l 點選左側功能列的【搜尋】【關鍵字】項目。

l於查詢畫面右上角選擇欲查看日誌的時間區間(最近30天)。

l於查詢畫面上方【搜尋...】欄位輸入查詢字串(EventID4720 OR EventID4726)。

l於查詢畫面左側欄位清單【safe3r2-*】中的"可用字段"選擇【add欲查詢的欄位(例如"EventTime","SubjectUserName","SubjectDomainName","EventID","TargetUserName","EventType"等欄位)。

 

2-3. 關鍵字搜尋設定

資料收集首次解析的日誌可能會有欄位未同步的問題,於Log內容前出現「驚嘆號」,表示需要更新系統日誌格式,以避免未來查詢或者報表產製發生問題,可使用下列方式排除問題。

l若展開log table格式出現驚嘆號符號如下

l於查詢畫面右上角選擇【開啟】【管理搜尋】

l於「索引管理」中點選更新

l重新整理後欄位的驚嘆號將不會出現

2-4. 儲存搜尋條件

使用者可以儲存搜尋條件,作為未來查詢使用,已被儲存的過濾條件會存放在「預設搜尋」。

l於查詢畫面右上角按下【儲存】,建議查詢條件命名規則為:功能-設備-事件-其他(OS-Windows-Account_create_and_delete)。

l點擊【儲存】。

2-5. 匯出搜尋條件

使用者可以用下列2種方式匯出搜尋資料。

l儲存完搜尋條件後選擇【分享】,即可產製CSV檔案匯出搜尋資料。

l選擇【開啟】後,選擇已儲存的搜尋條件,並於頁面上方選擇要搜尋的時間區段,待資料搜尋完成後,即可點選【分享】產製CSV檔案進行匯出。

2-6. 刪除搜尋條件

l點選左側功能列的【搜尋】【關鍵字】項目。

l於查詢畫面右上角選擇【開啟】【管理搜尋】進入物件管理頁籤。

l選擇欲刪除的搜尋條件。

l按下列表右側刪除鈕。

2-7. 匯出搜尋條件

l點選左側功能列的【搜尋】→【關鍵字】項目。

l於查詢畫面右上角選擇【開啟】→【管理搜尋】進入物件管理頁籤。

l選擇欲匯出的搜尋條件。

l按下列表右側匯出鈕。

3. 預設搜尋

SAFE3.0R2內建部分常見設備搜尋條件,供使用者選用,使用者也可以透過觀察預設搜尋的條件設定,撰寫自己的搜尋規則。

l點選左側功能列的【搜尋】【預設】項目。

l於左方分類清單中選擇欲查詢裝置所屬類別。

l點選欲查詢類別裝置,下方即出現所屬之查詢條件。

l點選查詢條件,即顯示查詢結果。

l於查詢結果頁面右上角選擇欲查看日誌的時間區間。

l使用者可以使用右鍵點擊節點來新增節點資料夾。

l使用者可以透過拖拉查詢條件的方式調整搜尋式所屬類別。