Cisco Cisco Firepower Management Center 2000 User Guide

57-16

FireSIGHT 系统用户指南

第 57 章      使用报告       

  创建和编辑报告模板

使用报告模板部分中的搜索

许可证：任何环境

生成成功报告的关键在于定义填入报告部分的搜索。 FireSIGHT 系统提供搜索编辑器，可查看报
告模板中可用的搜索以及定义新的自定义搜索。

提示

在报告模板中创建的自定义搜索专用于创建其所在的模板。在事件查看器中可以创建在所有报告
模板中可重用的搜索。在事件查看器中保存自定义搜索时，自定义搜索将在所有报告模板的 

 下拉菜单中显示。有关使用事件查看器创建和保存自定义搜索的详细信息，请参阅

要创建自定义搜索，请执行以下操作：

访问：管理员/任何安全分析师

步骤 1

在报告模板的相关部分中，点击 

 字段旁边的编辑图标  (

)。

Search Editor 页面显示，提供所选的要搜索的表。

步骤 2

或者，从 

 下拉菜单中选择预定义的搜索。

下拉列表显示此表的所有可用预定义搜索，包括系统别和报告专属的预定义搜索。

步骤 3

在相应的字段中编辑搜索条件。对于某些字段，限制可以包含与事件搜索相同的运算符 （

<

、

<>

 

等）。有关搜索条件的语法，请参阅

如果输入多个条件，搜索仅返回符合所有条件的记录。

步骤 4

或者，在显示输入参数图标  (

)  的位置，可以从下拉菜单中插入输入参数，以代替键入限制值。

有关在报告设计中使用输入参数的信息，请参阅

。

对于某些搜索字段，下拉菜单可能包含用户定义的受管对象而不是输入参数，或者同时包含两
者。受管对象根据其类型具有不同图标，是可作为值在限制搜索中使用的系统配置变量。但是，
它们不为随输入参数而出现的用户输入创建生成时间查询。有关受管对象的信息，请参阅

注

在编辑报告搜索的限制时，系统根据以下名称保存已编辑的搜索：

section custom search

，其中 

 是部分标题栏中的名称，后跟字符串 

custom search

。要使保存的自定义搜索具有有意义

的名称，请确保更改部分名称后再保存已编辑搜索。无法重命名已保存的报告搜索。

步骤 5

在搜索编辑器中完成字段修改时，请点击 

。

Report Sections 页面再次显示，并且在部分的 

 下拉菜单中显示新的预定义搜索。

使用输入参数

许可证：任何环境

在报告模板中可以使用输入参数，使报告可以在生成时自动更新。输入参数图标  (

)  指示可处

理其的字段。有两种输入参数：

预定义的 - 请参阅

表

用户定义的 - 请参阅