更新时间:2024-07-09
日志检索的主要目的是帮助管理员收集、分析和展示网络中的原始信息,通过使用日志检索,管理员可以更快地识别和解决安全问题,从而确保网络中业务系统的正常运行。 日志检索涵盖了三种不同的日志视图:安全检测日志、流量审计日志以及第三方日志。
- 其中安全检测日志包括网络安全日志、端点安全日志、IOA日志;
- 流量审计日志包括HTTP协议审计日志、 DNS协议审计日志等共24种协议审计日志;
- 第三方日志为通过第三方安全设备、操作系统、应用程序等第三方设备获取到的日志。查看时可以根据访问方向进一步过滤日志。
在日志检索导航栏,搜索方式分为简易模式以及专家模式。简易模式根据关键字指引进行检索,专家模式采用SPL语句检索,可在输入框中输入语句表达式进行检索。
简易模式
例如:使用简易模式查看主机IP为192.168.81.45的所有严重等级的日志。
专家模式
专家模式通过SPL语句进行检索。SPL语句有以下几个部分组成,首先通常由 filter 开头(如果不加会自动补充),后面跟对应字段表达式以及运算符,接着衔接字段参数。如筛选目的IP为192.168.81.45的安全检测日志。
SPL语句的输入方式有三种,第一种是按照SPL语法格式手动输入,如上述所示,第二种是将鼠标移动到对应字段列右键点击弹出窗口中的添加到条件,完成SPL语句的输入。
点击添加到条件
第三种是通过日志检索页面展示字段后漏斗按钮,选择对应字段的值进行过滤,也支持统计筛选。
语句收藏
对于常见的SPL搜索语句,提供语句收藏功能,点击右侧⭐️按钮,填写语句名称收藏,方便日常运营工作中进行日志快速筛选。
XDR记录日志字段根据日志分类展示不同字段,包括日志记录时间、请求头、响应体以及攻击结果等关键举证信息,辅助安全运营人员进行事件分析研判。
全局模糊检索
全局模糊检索支持检索7天范围内的数据,如检索”SQL注入“,返回结果呈现高亮,如下图所示: