搜尋

於左側目錄選擇「日誌」→「搜尋」進入簡易搜尋頁面。

1.欄位設定

(1)點擊開啟欄位設定視窗,設定完畢後點擊「儲存」完成設定。

(2)關聯式查詢欄位設定

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋欄位

safe3144

可針對目標IP/目標皆口/來源IP/來源皆口/動作等設定相對的搜尋欄位,並可自行輸入成功及失敗的關鍵字

(3)Windows欄位設定

可針對事件ID欄位設定相對的搜尋欄位。

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋事件ID。

 safe3145

(2)防火牆欄位設定

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋欄位。

 

可針對目標IP/目標皆口/來源IP/來源皆口/動作等設定相對的搜尋欄位,並可自行輸入成功及失敗的關鍵字

(3)Windows欄位設定:可針對事件ID欄位設定相對的搜尋欄位。

點擊輸入框空白處開啟下拉選單,供使用者自行設定搜尋事件ID。

2.搜尋功能

搜尋功能提供預設常用搜尋欄位讓使用者可以簡易搜尋相關事件:

(1) 關聯式查詢:可直接輸入來源IP/目標IP/來源接口(Port)/目標接口(Port)等資訊查詢特定IP/Port 的事件。 safe3146

(2) Windows:可直接輸入主機Hostname,或是點選下拉式選單選取預設帳號稽核事件進行事件搜尋。 safe3147

3.查詢結果匯出

點擊 icon可將日誌以CSV檔進行匯出。

進階搜尋

advance1

advance2

1.搜尋來源

各種日誌對應的索引如下:

(1)metricbeat-*代表主機本身的系統監控日誌。

(2)weblog-*代表主機本身的網頁行為紀錄。

(3)restored-safe3r2-*代表Safe3.0所回存的資料。

(4)safe3r2-*代表Safe3.0使用者的日誌資料。

2. 過濾條件功能介紹

(1)選擇過濾條件

(2)管理清單

  • 點擊「管理清單」開啟規則管理視窗,以列表顯示過濾條件名稱/描述/查詢語法及建立日期。

filter1

  • 刪除過濾條件:預設過濾條件checkbox反灰不可刪除,勾選checkbox後點擊刪除按鈕即可完成刪除作業。

filter2

(3)搜尋設定

  • 可針對預設action欄位統整設定各設備廠牌成功及失敗動作的關鍵字。成功動作如:accept、success、pass;失敗動作如:deny、fail等等。

searchconfig1

  • 常用事件ID:下拉選單選擇經常使用的Windows主機事件ID。

searchconfig2

searchconfig3

  • 設定完畢後可於規則選擇預設action欄位,依需求選擇全部/成功/失敗動作,每個動作內的條件皆使用OR連接。
    • 全部

searchconfig4

    • 成功

searchconfig5

    •  失敗

searchconfig6

  • 常用事件ID:使用EventID欄位即可帶出設定的事件ID下拉選單,每個事件皆使用OR連接。

(4)新增:點擊「新增」按鈕將清空原有搜尋設定,以新增新搜尋條件。

(5)預設顯示欄位設定:點擊「顯示設定」開啟欄位設定頁,可針對預設類別個別設定預設會顯示的日誌欄位,下拉選單選擇欲設定的欄位名稱。

display settings ch

3. 基本搜尋功能介紹

(1)基本查詢

  • 點擊開啟下拉選單,選擇欲查詢日誌的主機。

filtercn2

  • 選取後會帶出系統預設的顯示欄位,點擊「搜尋」後即顯示符合條件的日誌。

result1

  • 新增顯示欄位:點擊顯示欄位編輯框開啟進行新增顯示輸入框,輸入欲新增的欄位名稱。
  • 編輯顯示欄位順序:點擊欄位前後拖曳亦可變更欄位顯示排序。
  • 刪除顯示欄位:點擊欄位右側「x」即可將顯示欄位刪除。

result2

  • 依據日誌實際欄位調整顯示欄位名稱後如下圖

result3

(2)基本查詢功能範例

以下示範使用基本查詢多層過濾條件功能的日誌查詢方式

  • 範例1:查詢 IP 10.16.6.254 主機且action:deny的日誌。
    • 點擊「新增規則」新增過濾條件輸入框。
    • 下拉選單可以選擇 AND(且)/OR(或),在此情境下選擇「AND」。

addrule2

    • 欄位選擇:點擊下拉選單並輸入欲使用的欄位名稱,選擇「action.keyword」後選擇關係符號,在這個情境選擇「=」等於,並於輸入框內手動輸入「deny」。

addrule3

addrule4

  • 範例2:查詢 IP 10.16.6.254 主機且action為deny或是action為accpet的日誌。
    • host選擇 10.16.6.254,點擊「新增群組規則」,匹配條件選擇AND,欄位選擇action.keyword後欄位輸入accept;點擊「+」於該群組新增規則,欄位選擇action.keyword後欄位輸入deny。

addrule5

(3)日誌搜尋結果:設定過濾條件完畢後點擊「搜尋」,即可在下面查看欲查詢的日誌內容,將依顯示欄位設定以表格顯示日誌內容。

search3

(4)儲存規則:設定完點擊「儲存」並輸入搜尋條件名稱後點擊「保存」,即可完成規則儲存。

savesearch3

4.進階搜尋語法

使用Lucence語法,以下說明關鍵字搜尋使用方式與基本語法:

(1) 字串查詢:由一個或多個單詞或短語組成,短語須使用雙引號包圍,例如:"test search"。

(2) 特定欄位查詢:SAFE3.0支援搜索特定欄位,例如:EventID:4726。

(3) 正規表達式查詢:SAFE3.0支援萬用字元,讓使用者可以使用不確定的字串方式進行查詢,例如:「」:多個任意字元。例如 mana,代表mana為開頭的字串,「?」:單獨任意字元。例如:te?t,代表test或text等字串。

(4) 範圍查詢:SAFE3.0支援範圍查詢,根據使用的括號類型決定包括或排除邊界,例如:響應時間:[10 TO ],代表響應時間大於或等於10的所有事件,響應時間:{10 TO },代表響應時間大於10的所有事件。

(5) 運算符:運算符包含AND、OR、NOT,透過運算符可組合多個子查詢,例如:NOT EventID:4726,代表除EventID為4726之外的所有事件。

5.進階搜尋範例

以查詢最近24小時 IP 10.16.6.254 主機且action為deny或是action為accpet的日誌,建立查詢條件步驟如下:

  • 於查詢畫面右上角選擇欲查看日誌的時間區間(最近24小時)。
  • 切換查詢方式至「進階」,並於欄位輸入查詢字串 host:10.16.6.254 AND action:(deny OR accpet) 

6.日誌匯出

(1)搜尋條件儲存後,原反灰的日誌匯出按鈕將轉為可使用狀態,點擊按鈕即可匯出於時間區間內符合搜尋條件的日誌。

searchresult1

7.視覺單元

(1)搜尋條件儲存後,原反灰的視覺單元按鈕將轉為可使用狀態,點擊將另開新頁開啟新建視覺單元畫面,系統將自動連動使用該儲存的搜尋條件,使用者可直接進行視覺單元新增。

searchvis

排程匯出

於左側目錄點擊「日誌」→「排程匯出」進入排程匯出新增編輯頁。

1.新增排程

點擊新增safe3089icon開啟新增排程設定頁。

(1)過濾條件名稱:點擊輸入框開啟下拉選單,使用者可選擇需要進行排程匯出寄送的過濾條件。

(2) 收件者:必填欄位,點擊輸入框開啟下拉選單,選擇排程寄送的收件角色群組,或是直接輸入Email。

(3) 資料周期

safe3046

  • 小時:資料一小時產製並寄送一次。
  • 天:資料一天產製並寄送一次。

(4) 產製時間:當資料產製周期設定為天時,可選擇資料產製的特定時間點。

safe3047

(5) 點擊「儲存」完成設定。

safe3048

3.2啟用排程

勾選欲啟用排程匯出的過濾條件後點擊「勾選啟用」,即完成排程匯出設定。

資料下載

(1) 至「搜尋」頁面,點擊打開,選擇已儲存的搜尋條件。

(2) 選擇欲匯出的日誌日期區間後,點擊「共享」。

(3) 點擊「匯出成CSV」,並至「日誌」->「下載」將日誌CSV檔下載至本機。

(4) 點擊下載icon,將日誌進行下載。

5. 刪除日誌CSV檔:勾選欲刪除的CSV檔 checkbox,點擊刪除選擇並可完成刪除作業。

6. 設定日誌排程匯出:點擊日曆icon,可開啟排程匯出編輯頁。