Utilizarea căutărilor
Executarea căutărilor
Pentru a începe o căutare, introduceți ceea ce căutați în caseta de căutare. De exemplu, începeți cu un nume de utilizator, o cale de partajare în rețea, un nume de computer sau o frază de căutat în câmpurile de evenimente.
O căutare implică toate tipurile de elemente disponibile (evenimente, utilizatori, fișiere, computere etc.) deodată, indiferent de tipul de element care este evidențiat în acel moment.
Pentru a afișa evenimente doar dintr-o anumită perioadă de timp, utilizați opțiunile de filtrare a intervalului de timp din secțiunea Search and Filter (Căutare și filtrare) din Dashboards (Tablouri de bord),
Modulele Browser sau Investigations.
Căutările simple generează rezultate în cazul în care termenul specificat de dvs. este conținut oriunde în datele descoperite. Pentru a face căutările mai puțin ample și mai relevante, puteți utiliza indicii --- de exemplu, prin prefixarea numelor câmpurilor în care trebuie să căutați. Pentru detalii, consultați Sintaxă termen de căutare de mai jos.
Automatizarea scenariilor complexe de căutare
Pentru a începe căutarea, introduceți ceea ce căutați în caseta de căutare. De exemplu, începeți cu un nume de utilizator, o cale de partajare în rețea, un nume de computer sau o frază pe care să o căutați în câmpurile de evenimente.
Unele idei de flux de căutare sunt exprimate cel mai bine ca interogări de căutare în mai multe etape, în care datele produse de o căutare sunt transmise automat în următoarea căutare dintr-un lanț. Operatorul pipe (|) vă ajută să realizați acest lucru, iar numele câmpurilor în paranteze curbe specifică ce câmpuri trebuie analizate în aceste date.
Exemplul 1:
Găsiți managerii tuturor utilizatorilor care au creat sau au șters fișiere în partajarea de rețea \FILESRV1\Software
"\\FILESRV1\Software" OR Description:{SharePath} AND (What="File
Created" OR What="File Deleted") OR Who={Who} OR
DisplayName="{ManagedByDisplayName}"
Exemplul 2:
Găsiți evenimentele desfășurate de utilizatorii din biroul din Milwaukee pe calculatorul FILESRV1
Office="Milwaukee" OR Who:{SAMAccountName} AND Where:filesrv1
Exemplul 3:
Găsiți computerele la care s-au conectat membrii grupului Contabilitate
"Accounting" OR Who:{SAMAccountName} AND What:logon OR Where={Where}
Exemplul 4:
Găsește toți utilizatorii din același birou ca și utilizatorul dshaw
Who="dshaw" OR Office="{Office}"
Sintaxa termenului de căutare
Utilizați următoarea sintaxă pentru termenii de căutare în caseta de căutare. Căutările nu țin cont de majuscule și minuscule.
Termeni cu un singur cuvânt
Acest lucru este cunoscut sub numele de căutare full-text. Căutarea implică toate câmpurile disponibile și utilizează operatorul Contains.
| Adică | Sintaxa | Detalii |
|---|---|---|
| Căutați un termen cu un singur cuvânt în orice atribut | Cuvânt fără spații Exemplu: john | john se potrivește cu John sau john în orice atribut, dar nu se potrivește cu stjohn în niciun atribut |
| Căutați un termen cu un singur cuvânt cu începutul specificat în orice atribut. | Cuvânt care se termină cu un asterisc () fără spații Exemplu: john* | john* se potrivește cu John sau Johnson în orice atribut |
| Găsirea atributelor în care un anumit termen de un singur cuvânt nu este conținut în niciun atribut | Cuvânt fără spații, cu cratimă la început Exemplu: -john | -john se poate potrivi cu intrările care conțin stjohn, dar nu se potrivește cu intrările care conțin john în orice atribut. |
| Găsește intrările în care un anumit termen de un singur cuvânt cu începutul specificat nu este conținut în niciun atribut | Cuvânt care se termină cu un asterisc () fără spații și cu o cratimă de început Exemplu: -john* * | -john* se poate potrivi cu intrările care conțin stjohn, dar nu se potrivește cu intrările care conțin john sau johnson în orice atribut. |
| Combinații de termeni | ||
| Adică | Sintaxa | Detalii |
| Căutați intrări cu termeni specifici dintr-un singur cuvânt în orice atribut | Cuvânt separat prin spații Exemplu: john glen*. | john glen* se potrivește cu john și glen, sau cu john și glenda, sau cu john și glen și glenda, oriunde s-ar afla. |
| Căutați intrările care nu conțin termeni specifici dintr-un singur cuvânt în niciun atribut. | Cuvânt fără spații Exemple: • -john -glen • John -glen* | • -john -glen se potrivește cu intrările care nu conțin nicăieri john sau glen. • john -glen* se potrivește cu intrările care conțin john în orice atribut și care, în același timp, nu conțin glen sau glenda nicăieri. |
| Căutați intrările cu o anumită frază cu mai multe cuvinte în orice atribut | Frază între ghilimele Exemplu: "Cont Logon" | "Account Logon" se potrivește cu intrările care conțin fraza exactă Account Logon în orice atribut. |
| Căutați intrările care nu conțin o anumită frază cu mai multe cuvinte în niciun atribut. | Frază între ghilimele Exemplu: logon server01 - "Conectare la cont" | logon server01 - "Account logon" se potrivește cu intrările care conțin cuvintele Logon și server01 oriunde, dar care nu conțin fraza exactă Conectarea contului în orice atribut |
| Să îndeplinească unul dintre termenii (sau seturile de termeni) specificați. | Termeni (cuvinte simple sau fraze) separați prin operatorul OR; acest operator are următoarele particularități: • este sensibil la majuscule și minuscule: trebuie să fie întotdeauna specificat ca OR • denotă o alegere între tot ceea ce se află la stânga și tot ceea ce se află la dreapta lui • puteți utiliza mai mulți operatori OR într-o interogare; limita unei clauze OR este începutul interogării, sfârșitul interogării sau un alt OR Exemple: • - paul john OR Thomas - "logon/logoff" server01 OR stjohn | • paul john OR Thomas se potrivește cu intrările care conțin fie John și Paul, fie Thomas, oriunde. - "logon/logoff" server01 OR stjohn se potrivește fie cu intrările fără expresia Logon/Logoff care conțin server01, fie cu intrările cu stjohn (indiferent dacă acestea conțin sau nu expresia Logon/Logoff). |
| Marcați în mod explicit o operație AND pentru claritate vizuală | Termeni (cuvinte simple sau fraze) separați de operatorul AND; acest operator are următoarele particularități: • Este sensibil la majuscule și minuscule: trebuie să fie întotdeauna specificat ca AND. • Acesta poate fi omis ori de câte ori apare Exemple: • Paul ȘI john Paul john | paul AND john și paul john sunt identice ca semnificație: căutați intrările în care apar atât paul, cât și john. |
| Grupați și cuibăriți termeni pentru logică operațiuni asupra acestora | Paranteze care înconjoară termenii pe care doriți să îi grupați Exemplu: (homer marge) OR (peter lois) | (homer marge OR (peter lois) se potrivește fie cu intrările care conțin atât homer, cât și marge, fie cu intrările care conțin atât peter, cât și lois. Nu se potrivește cu intrările care conțin atât peter cât și homer și care nu conțin lois sau marge. |
Căutarea în atribute specifice
Pentru a aplica termenul de căutare numai la un anumit atribut, adăugați la termenul de căutare numele atributului cu două puncte (:) sau semnul egal (=), așa cum se arată în tabelul de mai jos. Dacă numele atributului este alcătuit din mai multe cuvinte, includeți-l între paranteze (ca în [nume jurnal]:securitate). Se aplică, de asemenea, toate convențiile sintactice descrise mai sus.
Următoarea distincție este importantă:
-
Etichete asociate fără ambiguitate cu atributele intrărilor; de exemplu, Path: "Documents and Settings" în intrările de acces la fișiere. În acest caz, căutarea implică câmpul specificat și utilizează
ContainsOperatorul . -
Etichete care corespund unor atribute diferite în contexte diferite (cunoscute sub numele de atribute normalizate); de exemplu, Where:primrose ar însemna domeniul primrose pentru utilizatori sau grupuri, computerul primrose pentru fișiere sau partaje, și așa mai departe. În acest caz, căutarea implică câmpurile asociate, după cum este necesar, și poate chiar modifica termenii de căutare.
Specificarea ghilimelelor
Dacă termenul de căutare trebuie să includă ghilimele duble, atunci pentru fiecare ghilimele duble trebuie să furnizați un ghilimele dublu suplimentar ca caracter de scăpare. A se vedea următoarele exemple:
| Pentru a găsi acest șir | Precizați acest termen |
|---|---|
| butonul "Anulare" | "butonul " "Anulare" " |
| calculator "kltest16" | "computer " "kltest16" |
Această cerință nu se aplică apostrofelor, care sunt utilizate frecvent ca ghilimele. Ghilimelele simple de acest tip nu au nevoie de scăpare și ar trebui să fie specificate într-un șir simplu, ca în "local 'Administrator' user".
Sintaxa filtrului
Selectați unul dintre operatori (explicați în tabelul următor) și introduceți termenii de filtrare.
| Operator | Sintaxa | Exemplu | Adică |
|---|---|---|---|
| Conține | [FieldName]: | Nume:Paul | Atributul conține toți termenii specificați în orice combinație. |
| Nu conține | NU [FieldName]: | NU Numele:John | Atributul nu conține niciunul dintre termenii specificați, nicăieri |
| Este egal cu | [FieldName]: | Nume: "John Paul" | Conținutul atributului este identic cu cel al frazei specificate; pentru acest operator nu se pune fraza între ghilimele. |
| Nu este egal cu | NU [FieldName]: | NU SamNumeCont:paul | Conținutul atributului nu este identic cu cel al frazei specificate; |
Pentru acest operator, nu includeți fraza între ghilimele.
Următoarele reguli de sintaxă de căutare descrise mai sus se aplică, de asemenea, termenilor de filtrare:
-
Termenii nu țin cont de majuscule și minuscule
-
Termenul poate fi un singur cuvânt, mai multe cuvinte sau o frază între ghilimele. În cazul termenilor cu un singur cuvânt, un asterisc la sfârșit este tratat ca un caracter joker
-
În frazele exacte, un asterisc este tratat ca un caracter obișnuit.
Efectuarea de căutări în mai multe etape
Aveți posibilitatea de a efectua o căutare pe baza rezultatelor unei alte căutări. Aceasta este o modalitate de a automatiza practicile de căutare stabilite și poate oferi o reprezentare mai clară și mai convenabilă a intențiilor dumneavoastră.
Acest lucru este similar cu modul în care ieșirea unei comenzi este redirecționată către o altă comandă ca intrare în limbajul PowerShell și în limbajul shell Unix. În consecință, redirecționarea rezultatelor căutării este asigurată de cunoscutul operator pipe (|).
Pentru a indica un câmp a cărui valoare trebuie să fie transferată de la interogarea din stânga la cea din dreapta prin intermediul țevii, includeți numele câmpului între paranteze curbe, ca în {Where} sau {EventID}.
Exemplu:
"rd.itsearch" | What:Logon AND Who:"{SAMAccountName}" | Name="{Where}"
În această căutare în trei etape, rezultatele inițiale sunt rafinate de două ori. În primul rând, se găsesc toți utilizatorii care sunt membri ai grupului rd.itsearch. Pentru acești utilizatori, se găsesc astfel de evenimente în care numele conturilor SAM ale utilizatorilor se află în câmpul Who, iar câmpul What conține Logon. Din evenimentele rezultate, le alege numai pe cele care au oricare dintre numele de computer descoperite în câmpul Where (Unde).