在设计模式下搜索事件

要在构建器模式下定义事件搜索条件：

1. 选择程序 Web 界面窗口中威胁搜索部分的生成器选项卡。

   这将打开事件搜索表单。

2. 在下拉列表中，选择事件搜索条件。

   您可以在事件搜索条件部分查看事件搜索条件描述。

3. 在下拉列表中，选择运算符。

   有关可用运算符的列表，请参阅运算符部分。

   每种类型的字段值都有其自己相关的一组运算符。例如，当选择 EventType 字段值类型时，= 和 != 运算符将可用。

4. 根据选定的字段值类型，执行以下操作之一：
   • 在该字段中，指定您想用于执行事件搜索的一个或多个字符。
   • 在下拉列表中，选择您想要执行事件搜索的字段值选项。

   例如，要根据用户名搜索完整匹配，请输入用户名。

5. 如果您想添加新条件，请使用 AND 或 OR 逻辑运算符并重复添加条件的必要操作。
6. 如果您想添加一组条件，请单击组按钮并重复添加条件所必需的操作。
7. 如果您想删除一组条件，请单击移除组按钮。
8. 如果您想搜索在特定时段内发生的事件，请在任何时候下拉列表中选择以下某个事件搜索时段：
   • 任何时候，如果您希望表显示最早发现的记录的事件。
   • 上一个小时，如果您希望表格显示在最后一个小时内找到的事件。
   • 最后一天，如果您希望表格显示在最后一天内找到的事件。
   • 自定义范围，如果您希望表格显示在指定时段内找到的事件。
9. 如果您选择了自定义范围:
   1. 在打开的日历中，指定事件显示范围的开始和结束日期。
   2. 单击应用。

   日历关闭。

10. 单击搜索。

    满足搜索条件的事件表将显示。

    如果您使用分布式解决方案和多租户模式，找到的事件将按层分组：服务器 – 租户名称 – 服务器名称。

    

    Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。

    

    安装有中央节点组件的服务器的两层架构。此架构分配主控制服务器 （主中央节点 (PCN)）和从属服务器（辅助中央节点 (SCN)）。

11. 单击要查看其事件的服务器的名称。

所选服务器的主机表将显示。事件分组级别显示在表格上方。