过程

1. 转至日志 → 检测日志查询
2. 指定时间范围，或单击日历图标以选择特定的日期。
3. 选择端点下的下列选项之一：
   • 所有计算机
   • （可选）选择计算机名称、AD 域或帐户和/或 MAC 地址。

     注意 计算机名称、Active Directory 域名和帐户查询都支持部分匹配。

   • （可选）选择 IP 地址，或一个 IP 地址范围。
   • （可选）选择组

     组名选项

     选项	描述
     组名	从列表中选择一个组名。
     所有组	使用缺省设置选择所有组。
     不在组内	对于不属于其他任何类别中的组，请选择此选项。
     已删除的组	如果组名不在列表中、不知道确切名称或者组名已被删除，请选择此选项。

4. 选择检测类型

   检测类型选项

   选项	描述
   威胁	选择此选项以生成有关对恶意内容、灰色软件、漏洞利用、恶意行为和/或可疑行为中信息的所有未授权访问的日志。 选择类型、严重性、恶意软件名称、协议、方向、网络区域、威胁清除、爆发遏制服务和/或检测文件，可自定义威胁日志查询。
   中断性应用程序	选择此选项可生成有关因为会使网络变慢、存在安全风险且通常会干扰员工的正常工作而被视为具有中断性的任何点对点、即时通讯或流媒体应用程序的日志。 选择协议和方向可自定义中断性应用程序日志查询。 注意 选择内部检测，查看网络中的 IP 地址源。 选择外部检测，查看网络外的 IP 地址源。
   恶意 URL	选择此选项可生成有关试图执行恶意活动的所有网站的日志。
   虚拟分析	选择此选项可关于沙盒虚拟平台分析的文件生成日志。选择威胁严重性，如有需要，还可以选择文件名和 SHA-1 名称。 选择严重性、文件名（可选）和 SHA-1（可选），自定义虚拟分析日志查询。
   关联的事件	选择此选项可生成有关关联事件的日志。 选择严重性、关联规则 ID (ICID)（可选）、事件名称（可选）和协议，来自定义关联事件日志查询。
   自定义检测	选择此选项可生成有关基于拒绝列表实体（IP 地址、URL、文件或域）或关键字的自定义检测的日志。

5. 单击搜索以运行检测日志查询。
6. 要开始新查询，请单击开始新查询图标。

   注意 请勿使用浏览器的返回按钮来开始一次新查询。执行此操作，用户可返回到威胁发现设置控制台。

7. 根据需要获取有关日志中检测的其他详细信息。
8. 根据需要单击导出，以将检测日志导出为 .CSV 文件。