1. 搜尋來源

各種日誌對應的索引如下：

(1)metricbeat-*代表主機本身的系統監控日誌。

(2)weblog-*代表主機本身的網頁行為紀錄。

(3)restored-safe3r2-*代表Safe3.0所回存的資料。

(4)safe3r2-*代表Safe3.0使用者的日誌資料。

2. 關鍵字搜尋

以下說明關鍵字搜尋使用方式。

2-1. 關鍵字搜尋基本語法

(1) 字串查詢：由一個或多個單詞或短語組成，短語須使用雙引號包圍，例如："test search"。 

(2) 特定欄位查詢：SAFE3.0支援搜索特定欄位，例如：EventID：4726。

(3) 正規表達式查詢：SAFE3.0支援萬用字元，讓使用者可以使用不確定的字串方式進行查詢，例如:「*」:多個任意字元。例如 mana*，代表mana為開頭的字串，「?」：單獨任意字元。例如：te?t，代表test或text等字串。

(4) 範圍查詢：SAFE3.0支援範圍查詢，根據使用的括號類型決定包括或排除邊界，例如：響應時間：[10 TO *]，代表響應時間大於或等於10的所有事件，響應時間：{10 TO *}，代表響應時間大於10的所有事件。

(5) 運算符：運算符包含AND、OR、NOT，透過運算符可組合多個子查詢，例如：NOT EventID：4726，代表除EventID為4726之外的所有事件。

2-2. 關鍵字搜尋範例

以查詢最近24小時Windows帳號創建及帳號刪除事件日誌為例，建立查詢條件步驟如下：

l點選左側功能列的「日誌」→「搜尋」項目。

l於查詢畫面右上角選擇欲查看日誌的時間區間（最近24小時）。

l於查詢畫面上方【搜尋...】欄位輸入查詢字串（EventID：4720 OR EventID：4726）。

l於查詢畫面左側欄位清單【safe3r2-*】中的「可用字段」選擇【添加】欲查詢的欄位（例如"EventTime","SubjectUserName","SubjectDomainName","EventID","TargetUserName","EventType"等欄位）。

2-3. 關鍵字搜尋設定

資料收集首次解析的日誌可能會有欄位未同步的問題，於Log內容前出現「驚嘆號」，表示需要更新系統日誌格式，以避免未來查詢或者報表產製發生問題，可使用下列方式排除問題。

l若展開log table格式出現驚嘆號符號如下，請聯絡窗口協助處理。

2-4.  儲存搜尋條件：使用者可以儲存搜尋條件，作為未來查詢使用。

l於查詢畫面右上角按下「儲存」，建議查詢條件命名規則為：功能-設備-事件-其他（OS-Windows-Account_create_and_delete）。

l點擊「儲存」。

2-5.  匯出搜尋條件：使用者可以用下列2種方式匯出搜尋資料。

l儲存完搜尋條件後選擇「共享」，即可產製CSV檔案匯出搜尋資料。

l選擇「打開」後，選擇已儲存的搜尋條件，並於頁面上方選擇要搜尋的時間區段，待資料搜尋完成後，即可點選「共享」產製CSV檔案進行匯出，並至「下載」頁面進行下載。