Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
60-2
FireSIGHT 系统用户指南
  
 60       搜索事件       
  执行和保存搜索
执行搜索
许可证:任何环境
对于某些事件类型, FireSIGHT 系统提供预定义搜索,既可将其用作示例,又可借助其快速访问
关于网络的重要信息。可针对网络环境修改预定义搜索中的字段,然后保存搜索,以供日后重复
使用。还可使用自己的搜索条件。
要执行搜索,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择 
Analysis > Search
系统将显示 Search 页面。
步骤 2
从表下拉列表中,选择想搜索的事件或数据的类型
系统将用相应搜索约束更新页面。
步骤 3
在相应字段输入搜索条件:
  •
所有字段都接受求反 (
!
)。
  •
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
  •
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
  –
对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如,搜索 
A, B, "C, D, E"
 时,匹配记录为包含 
"A"
 或 
"B"
 或 
"C, D, E"
 
的指定字段。这允许与可能的值中包含逗号的字段匹配。
  –
对于可能同时包含多个值的字段,指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。
  –
对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔
列表。例如,在某字段上搜索 
A, B, "C, D, E"
 时,如果该字段可能包含这其中一个或多
个字母,则匹配的记录指定字段将包含 
A
 或 
B
或同时包含 
C
D
和 
E
  •
搜索仅返回与所有字段的指定搜索条件匹配的记录。
  •
许多字段接受一个或多个星号 (
*
) 作为通配符。
  •
在任一字段指定 
n/a
 以便识别信息不适用于该字段的事件;使用 
!n/a
 识别字段填充事件。
  •
点击搜索字段旁边的添加对象图标  (
),使用对象作为搜索条件。
步骤 4
请参阅以下各节,了解有关可使用的搜索条件的详细信息。
  •
  •
  •
  •
  •
  •
  •
  •
  •