搜尋應用程式允許您查詢您的資料防護和偵測。
 |
秘訣
|
下表概述了不同的搜索語法並提供了示例字符串:
基於欄位的搜尋語法
|
搜尋目標
|
說明
|
支援的欄位類型
|
搜尋語法
|
範例
|
||||
|
部分匹配
|
提供包含搜尋字串的指定欄位的所有結果
|
|
|
endpointName: windows返回所有在端點名稱中包含 "windows" 的結果
endpointName: *windows\/app*返回所有在端點名稱中包含 "windows/app" 的結果
|
||||
|
完全匹配
|
提供包含指定精確搜尋字串的所有指定欄位結果
|
|
<field_name>: "<search_string>" |
endpointName: "john_doe"僅返回端點名稱為 "john_doe" 的結果
|
||||
|
萬用字元搜尋
|
提供符合以下萬用字元替代的欄位值的結果:
|
|
<field_name>: <search_string>* |
端點名稱: "john*"返回所有在端點名稱中前四個字元包含 "john" 的結果
範例結果: "john", "john_doe", "johndoe", "johnd"
|
||||
|
範圍運算子
|
使用以下運算符提供符合多個欄位指定要求的所有結果:
|
|
<field_name> <range_operator> <number> |
"dpt >= 80" AND "dpt <= 443"僅返回日誌資料中包含範圍從大於或等於80到小於或等於443的整數的結果
|
||||
|
正則表達式
|
提供符合正規表達式的所有結果,使得該值在欄位中的任何位置都匹配。
如需詳細資訊,請前往 在搜尋查詢中使用正則表達式。
|
|
<field_name>: /<search_string>/ |
endpointHostName: /\\w*(trend|trendmicro)\.com/ |
自由搜尋語法
|
搜尋目標
|
說明
|
搜尋語法
|
範例
|
||||
|
部分匹配
|
提供所有在任何資料防護欄位中包含搜尋字串的結果。
|
|
"john"返回所有在任何資料防護欄位中包含字串
john的結果 |
||||
|
完全匹配
|
不可用
|
-
|
-
|
邏輯運算符和特殊字符
|
操作員類型
|
說明
|
支援的搜尋類型 |
搜尋語法
|
範例
|
||||
|
多個欄位
|
使用以下運算符提供符合多個欄位指定要求的所有結果:
|
|
<field_name>: <search_string1> 運算子 <field_name>:<search_string2>
|
endpointName: "john_doe" AND fileName: "credit"僅返回日誌資料中包含 "john_doe" 和 "credit" 的結果(例如:objectUser=john_doe2; fileName=creditcard.txt)
"john_doe" AND NOT "home"僅返回日誌資料中包含 "john_doe" 但在任何欄位中不包含 "home" 的結果
|
||||
|
多個值
|
使用以下運算子提供符合多個值指定要求的所有結果:
|
|
<field_name>: <search_string1> 運算子 <search_string2> |
endpointName:"john_doe" OR "jane_doe"返回端點名稱為 "john_doe" 或 "jane_doe" 的結果
|
基於令牌的搜尋語法(部分匹配)
|
搜尋條件
(範例: "Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\trend\project\abc.txt")
|
返回搜尋結果
|
||
<field_name>: 趨勢
|
是
|
||
<field_name>: 趨勢 |
是
|
||
<field_name>: "*趨勢*" |
是
|
||
<field_name>: Tre
|
否
|
||
<field_name>: 趨勢科技 |
否
|
||
<field_name>: 微型 |
是
|
||
<field_name>: 趨勢科技 |
是
|
||
<field_name>: 趨勢科技 |
是
|
||
<field_name>: 趨勢_ |
是
|
||
<field_name>: e91fe |
否
|
||
<field_name>: fa73ad07 |
是
|
||
<field_name>: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 |
是
|
||
<field_name>: john_doe@trendmicro.com |
是
|
||
<field_name>: Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\\trend\\project\\abc.txt |
是
|
||
<field_name>: Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\trend\project\abc.txt |
否
|
||
<field_name>: "*Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\\trend\\project\\abc.txt*" |
否
|
||
<field_name>: "*Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\\trend\\project\\abc.txt*" |
是
|
||
<field_name>: "*john\\trend\\project\\abc.txt*" |
是
|
萬用字元搜尋
|
類別
|
說明
|
範例
|
基於令牌的搜尋
|
區分大小寫
|
||
|
開始於
|
字串的末尾有一個星號 (*)。
|
趨勢* |
否
|
否
|
||
|
結束於
|
字串的開頭有一個星號 (*)。
|
*微軟 |
否
|
否
|
||
|
包含
|
星號 (*) 位於字串的開頭和結尾。
|
*Vision* |
是
|
否
|
||
|
其他
|
字串中間有一個或多個星號 (*)。
|
|
否
|
是
|
|
查詢條件
(範例:"Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com")
|
類別
|
說明
|
返回搜尋結果
|
<field_name>: "趨勢*" |
開始於 |
查找以 "Trend" 開頭的值。
|
是
|
<field_name>: "trend*" |
開始於 |
查找以 "trend" 開頭的值。
|
是
|
<field_name>: "*trendmicro.com" |
結束於 |
查找以 "trendmicro.com" 結尾的值。
|
是
|
<field_name>: "*TRENDMICRO.COM" |
結束於 |
查找以 "TRENDMICRO.COM" 結尾的值。
|
是
|
<field_name>: "*Trend_Micro*" |
包含 |
查找包含 "Trend_Micro" 的值。
|
是
|
<field_name>: "*trend_micro*" |
包含 |
尋找包含 "trend_micro" 的值。
|
是
|
<field_name>: "Trend*com" |
其他 |
查找以 "Trend" 開頭並以 "com" 結尾的字串值。
|
是
|
<field_name>: "Tre*" |
開始於 |
找到以 "Tre" 開頭的值。
|
是
|
<field_name>: "*micro.com" |
結束於 |
尋找以 "micro.com" 結尾的值。
|
是
|
<field_name>: "*fa73ad07*e91fedaf4a04*" |
其他 |
找到符合 "*fa73ad07*e91fedaf4a04*" 的值。
|
是
|
<field_name>: "fa73ad07*e91fedaf4a04" |
其他 |
找到符合 "fa73ad07*e91fedaf4a04" 的值。
|
是
|
<field_name>: "fa73ad07*" |
開始於 |
查找以 "fa73ad07" 開頭的值。
"fa73ad07" 是一個標記的開始,但不是整個字串的開始,因此結果不匹配。
|
否
|
<field_name>: "fa73ad07**" |
其他 |
找到符合 "fa73ad07**" 的值。
由於字串中間有一個 "*",這是一個 MISC. 萬用字元搜尋。
MISC. 萬用字元即使在字串中間也會搜尋結果。
|
是
|
<field_name>: "*Vision-One" |
結束於 |
查找以 "Vision-One" 結尾的值。
"Vision-One" 是一個標記的結尾,但不是整個字串的結尾,因此結果不匹配。
|
否
|
<field_name>: "**Vision-One" |
其他 |
找到符合 "**Vision-One" 的值。
由於字串中間有一個 "*",這是一個 MISC. 萬用字元搜尋。
MISC. 萬用字元即使在字串中間也會搜尋結果。
|
是
|
<field_name>: "**vision-one" |
其他 |
找到符合 "**vision-one" 的值。
MISC. 萬用字元搜尋區分大小寫,因此「vision-one」不符合「Vision-One」。
|
否
|
<field_name>: "*Visio*" |
包含 |
尋找包含 "Visio" 的值。
"Visio" 不是字串中的標記,因此結果不匹配。
|
否
|
<field_name>: "VISION*COM" |
其他 |
查找以 "VISION" 開頭並以 "COM" 結尾的字串值。
MISC. 萬用字元搜尋區分大小寫,因此「vision」不會匹配「Vision」。
|
否
|
搜尋篩選器
|
處理行動
|
說明
|
支援的欄位類型
|
||
|
新增篩選條件:欄位為值
|
將選定的值作為搜尋條件新增到現有的搜尋查詢中。
|
|
||
|
新增篩選條件:欄位不等於值
|
將選定的值作為例外添加到現有的搜索查詢中。
|
|
||
|
新增篩選條件:欄位為空
|
將選定的欄位作為搜尋條件,無值地新增到現有的搜尋查詢中。
|
|
||
|
新增篩選條件:欄位存在
|
將選定的欄位與任何值作為搜尋條件新增到現有的搜尋查詢中。
|
|
||
|
新增篩選條件:欄位不存在
|
將選定的欄位作為搜尋條件,無值地新增到現有的搜尋查詢中。
|
|
邏輯運算符優先順序
|
優先順序
|
操作員
|
說明
|
範例
|
||
|
1
|
( )
|
群組邏輯表達式
|
返回包含端口 80、81 或 82 的事件
埠: (80 或 81 或 82) |
||
|
2
|
不是
|
邏輯非
|
返回不包含端口 80 的事件
非埠:80 |
||
|
3
|
和
|
邏輯與
|
|
||
|
4
|
或
|
邏輯或
|
轉義運算符和字符
| 類別 | 運算子或字元 | 匹配類型和範例 |
|
關鍵字
|
|
部分匹配
|
|
特殊字元
|
|
部分匹配
|
|
完全匹配關鍵字
|
|
完全匹配
|
|
正則表達式關鍵字
|
|
正則表達式匹配
|
|
空白
|
|
部分匹配
正則表達式匹配
|