Cisco Cisco Firepower Management Center 2000 User Guide

50-60

FireSIGHT 系统用户指南

第 50 章      使用发现事件       

  使用用户活动

  –

对于可能同时包含多个值的字段，指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。

  –

对于可能同时包含多个值的字段，搜索条件可以包含单个值以及引号引起来的逗号分隔
列表。例如，在某字段上搜索 

A, B, "C, D, E"

 时，如果该字段可能包含这其中一个或多

个字母，则匹配的记录指定字段将包含 

A

 或 

B

或同时包含 

C

、

D

和 

E

。

搜索仅返回与所有字段的指定搜索条件匹配的记录。

许多字段接受一个或多个星号 (

*

) 作为通配符。

对于某些字段，可以在字段中指定 

n/a

 或 

blank

 识别信息不可用的字段的事件；使用 

!n/a

 或 

!blank

 识别已填入字段的事件。

大多数字段不区分大小写。

可以使用 CIDR 表示法指定 IP 地址。有关在 FireSIGHT 系统中输入 IPv4 和 IPv6 地址的详细
信息，请参阅

使用设备字段搜索特定设备以及组、堆栈或集群中的设备。有关 FireSIGHT 系统如何处理搜
索中的设备字段的详细信息，请参阅

点击搜索字段旁边的添加对象图标  (

)，使用对象作为搜索条件。

。

要搜索用户活动：

访问：管理员/任何安全分析师

步骤 1

选择 

。

系统将显示 Search 页面。

步骤 2

从表下拉菜单中选择 

。

系统将显示 User Activity 搜索页面。

提示

要在数据库中搜索另一类型的事件，请从表下拉列表选择它。

步骤 3

在相应字段输入搜索条件。

如果您输入多个字段的条件，则搜索仅返回符合为所有字段指定的搜索条件的记录。点击在搜索
字段旁边显示的添加图标  (

)，使用对象作为搜索条件。

步骤 4

如果您计划保存搜索，也可以选择 

 复选框，将搜索保存为私有，这样就只有您可以访问

它。否则，请清除此复选框，将搜索保存为适用于所有用户。

提示

如果要将搜索另存为对权限有限的自定义用户角色的约束，必须将其另存为私有搜索。

步骤 5

或者，您可以保存搜索，以备以后使用。您有以下选项：

点击 

，保存搜索条件。

对于新的搜索，系统将显示一个对话框，提示您提供搜索的名称；请输入一个唯一的搜索名
称，然后点击 

。如果为之前即已存在的搜索保存新的条件，则不会显示提示。搜索保存

成功 （如果您选择了 

，则只对您的帐户显示），您以后可以运行此搜索。

点击 

 可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。

系统将显示一个对话框，提示您提供搜索的名称；请输入一个唯一的搜索名称，然后点击 

。

搜索保存成功 （如果您选择了 

，则只对您的帐户显示），您以后可以运行此搜索。