搜尋

於左側目錄選擇「日誌」→「搜尋」進入簡易搜尋頁面。

1.欄位設定

(1)點擊開啟欄位設定視窗,設定完畢後點擊「儲存」完成設定。

(2)關聯式查詢欄位設定

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋欄位

safe3144

可針對目標IP/目標皆口/來源IP/來源皆口/動作等設定相對的搜尋欄位,並可自行輸入成功及失敗的關鍵字

(3)Windows欄位設定

可針對事件ID欄位設定相對的搜尋欄位。

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋事件ID。

 safe3145

(2)防火牆欄位設定

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋欄位。

可針對目標IP/目標皆口/來源IP/來源皆口/動作等設定相對的搜尋欄位,並可自行輸入成功及失敗的關鍵字

(3)Windows欄位設定:可針對事件ID欄位設定相對的搜尋欄位。

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋事件ID。

2.搜尋功能

搜尋功能提供預設常用搜尋欄位讓使用者可以簡易搜尋相關事件:

(1) 關聯式查詢:可直接輸入來源IP/目標IP/來源接口(Port)/目標接口(Port)等資訊查詢特定IP/Port 的事件。 safe3146

(2) Windows:可直接輸入主機Hostname,或是點選下拉式選單選取預設帳號稽核事件進行事件搜尋。 safe3147

3.查詢結果匯出

點擊 icon可將日誌以CSV檔進行匯出。

進階搜尋

搜尋夜.png

1.搜尋來源

各種日誌對應的索引如下:

(1)metricbeat-*代表主機本身的系統監控日誌。

(2)weblog-*代表主機本身的網頁行為紀錄。

(3)restored-safe3r2-*代表Safe3.0所回存的資料。

(4)safe3r2-*代表Safe3.0使用者的日誌資料。

2.關鍵字搜尋

以下說明關鍵字搜尋使用方式與基本語法。

(1) 字串查詢:由一個或多個單詞或短語組成,短語須使用雙引號包圍,例如:"test search"。

(2) 特定欄位查詢:SAFE3.0支援搜索特定欄位,例如:EventID:4726。

(3) 正規表達式查詢:SAFE3.0支援萬用字元,讓使用者可以使用不確定的字串方式進行查詢,例如:「」:多個任意字元。例如 mana,代表mana為開頭的字串,「?」:單獨任意字元。例如:te?t,代表test或text等字串。

(4) 範圍查詢:SAFE3.0支援範圍查詢,根據使用的括號類型決定包括或排除邊界,例如:響應時間:[10 TO ],代表響應時間大於或等於10的所有事件,響應時間:{10 TO },代表響應時間大於10的所有事件。

(5) 運算符:運算符包含AND、OR、NOT,透過運算符可組合多個子查詢,例如:NOT EventID:4726,代表除EventID為4726之外的所有事件。

3.關鍵字搜尋範例

以查詢最近24小時Windows帳號創建及帳號刪除事件日誌為例,建立查詢條件步驟如下:

  • 點選左側功能列的「日誌」→「搜尋」項目。

       

  • 於查詢畫面右上角選擇欲查看日誌的時間區間(最近24小時)。
  • 於查詢畫面上方【搜尋...】欄位輸入查詢字串(EventID:4720 OR EventID:4726)。
  • 於查詢畫面左側欄位清單【safe3r2-*】中的「可用字段」選擇【添加】欲查詢的欄位(例如"EventTime","SubjectUserName","SubjectDomainName","EventID","TargetUserName","EventType"等欄位)。

查詢示範.png

4.關鍵字搜尋設定

資料收集首次解析的日誌可能會有欄位未同步的問題,於Log內容前出現「驚嘆號」,表示需要更新系統日誌格式,以避免未來查詢或者報表產製發生問題,可使用下列方式排除問題。

若展開log table格式出現驚嘆號符號如下,請聯絡窗口協助處理。

5.儲存搜尋條件

使用者可以儲存搜尋條件,作為未來查詢使用。

  • 於查詢畫面右上角按下「儲存」,建議查詢條件命名規則為:功能-設備-事件-其他(OS-Windows-Account_create_and_delete)。
  • 點擊「儲存」。

6.匯出搜尋條件

使用者可以用下列2種方式匯出搜尋資料。

  • 儲存完搜尋條件後選擇「共享」,即可產製CSV檔案匯出搜尋資料。
  • 選擇「打開」後,選擇已儲存的搜尋條件,並於頁面上方選擇要搜尋的時間區段,待資料搜尋完成後,即可點選「共享」產製CSV檔案進行匯出,並至「下載」頁面進行下載。

排程匯出

於左側目錄點擊「日誌」→「排程匯出」進入排程匯出新增編輯頁。

1.新增排程

點擊新增safe3089icon開啟新增排程設定頁。

(1)過濾條件名稱:點擊輸入框開啟下拉選單,使用者可選擇需要進行排程匯出寄送的過濾條件。

(2) 收件者:必填欄位,點擊輸入框開啟下拉選單,選擇排程寄送的收件角色群組,或是直接輸入Email。

(3) 資料周期

safe3046

  • 小時:資料一小時產製並寄送一次。
  • 天:資料一天產製並寄送一次。

(4) 產製時間:當資料產製周期設定為天時,可選擇資料產製的特定時間點。

safe3047

(5) 點擊「儲存」完成設定。

safe3048

3.2啟用排程

勾選欲啟用排程匯出的過濾條件後點擊「勾選啟用」,即完成排程匯出設定。

資料下載

(1) 至「搜尋」頁面,點擊打開,選擇已儲存的搜尋條件。

(2) 選擇欲匯出的日誌日期區間後,點擊「共享」。

(3) 點擊「匯出成CSV」,並至「日誌」->「下載」將日誌CSV檔下載至本機。

(4) 點擊下載icon,將日誌進行下載。

5. 刪除日誌CSV檔:勾選欲刪除的CSV檔 checkbox,點擊刪除選擇並可完成刪除作業。

6. 設定日誌排程匯出:點擊日曆icon,可開啟排程匯出編輯頁。