搜索归档事件
搜索归档事件 是一种高效查找归档文件中特定事件的方式。与 恢复归档事件 选项不同,该选项将文件加载到数据库,此处的归档文件将被建立索引,从而可以更快地搜索到任何特定事件。此功能还允许您跨所有日志类别进行搜索。
注意:
- 归档文件必须被建立索引后,才能被搜索或以报告形式查看。
- 一旦文件被建立索引,可以通过同一页面左侧的选项将其作为报告查看。
- 在 搜索归档事件 下索引归档文件不会在 报告 选项卡中显示报告。要查看 报告 选项卡中的报告,请使用 恢复归档事件 选项。
- 每个日志类别最多可索引50个文件。每个归档文件索引后将占用40-70MB空间。
- 默认情况下,索引文件将存储在产品安装目录内。要更改位置,请使用 设置 中的 索引文件以供搜索.
- 选项。
- 在索引之前,请确保安装目录或配置位置有足够的空间。 若要搜索DataEngine类别的归档事件,请打开ADAudit Plus控制台并导航至管理 > 配置 > 恢复归档事件
- 。此页面上可用于搜索和恢复的DataEngine类别包括以下内容:
- AD复制审计
- 高级DNS服务器审计
- PowerShell审计
- Sysmon审计
- 威胁行动数据
- 威胁行动细分
- 云活动日志
- 文件审计
账户登录
如何执行归档搜索
- 步骤: 导航至 管理 > 管理 搜索归档事件.
- 配置 索引文件以供搜索 点击
- 并根据需求选择时间范围和日志类别。 选择所需文件(每个类别最多50个文件),然后点击 索引 图标于 操作
- 列中。 恢复归档事件 文件计划索引后,状态会在同一页面的状态栏更新。文件索引完成后,可通过同一页面左侧的选项将其作为报告查看(与 报告 不同,恢复后可在
- 选项卡中查看报告)。
使用每个报告中的搜索栏精确定位特定事件。
归档全局搜索
此选项允许您跨所有日志类别进行搜索。输入搜索查询后,将显示所有日志类别的查询结果摘要,您可以进一步钻取查看详细报告。
搜索框
如何执行归档搜索
- 简单搜索
- 从左侧下拉菜单选择搜索字段和运算符(将鼠标悬停在下拉菜单即可展开)。 在搜索框中输入搜索文本,点击.
绿色搜索图标
注意:
- 下方会显示与搜索相关的报告。
- 搜索框支持通配符字符 * 和 ?。 例如, ad* 将检索所有以ad 开头的文本,如 admin、administrator 或 adon,而 ad* 将检索所有以 ad*n n会检索所有以
- n
结尾的文本,如 admin 或 adon。
如何执行归档搜索
- 如果搜索文本含有用空格分隔的多个词,请用双引号将其括起来。 高级搜索 若要进行多查询搜索,在输入搜索文本后点击
- 加号按钮 ,这将打开高级搜索面板。 在搜索框中输入搜索文本,点击 AND 或
- OR
- 将其附加到上述查询中。 若要对查询进行分组,可拖放括号到所需位置。.
- 若要删除某个查询,将鼠标悬停于其上,点击 删除按钮 。
- 点击 运算符 可切换运算符。
