在源代码模式下搜索事件
在源代码模式下搜索事件
在源代码模式下定义事件搜索条件:
- 在应用程序 Web 界面窗口中,选择威胁搜索部分,源代码选项卡。
这将打开一个表单,其中包含用于在源代码模式下输入事件搜索条件的字段。
- 使用条件、运算符、逻辑运算符
OR
和AND
以及分组条件的括号输入事件搜索条件。搜索条件必须符合以下语法:
<条件> <运算符> <条件值>
。示例:
EventType = "filechange"
AND (
FileName CONTAINS "example"
OR UserName = "example"
)
- 如果要在编辑器窗口中隐藏换行特殊字符,请单击将特殊字符转换为换行符
。如果要显示换行符,请单击将换行符转换为特殊字符
。
当使用由多个条件值组成的复杂搜索条件时,在源代码编辑窗口中,每个条件值必须另起一行。为了显示换行,Kaspersky Anti Targeted Attack Platform 使用行分隔符特殊字符 (^r ^n)。若要正确执行事件搜索,必须确保行分隔符特殊字符排列正确。
- 如果您想搜索在特定时段内发生的事件,请单击任何时候按钮并选择以下某个事件搜索时段:
- 任何时候,如果您希望表显示最早发现的记录的事件。
- 上一个小时,如果您希望表格显示在最后一个小时内找到的事件。
- 最后一天,如果您希望表格显示在最后一天内找到的事件。
- 自定义范围,如果您希望表格显示在指定时段内找到的事件。
- 如果您选择了自定义范围:
- 在打开的日历中,指定事件显示范围的开始和结束日期。
- 单击应用。
日历关闭。
- 单击搜索。
满足搜索条件的事件表将显示。
- 单击要查看其事件的服务器的名称。
所选服务器的主机表将显示。事件分组级别显示在表格上方。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.