Руководство Пользователя для Cisco Cisco Firepower Management Center 2000
50-56
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用用户
–
对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔
列表。例如,在某字段上搜索
列表。例如,在某字段上搜索
A, B, "C, D, E"
时,如果该字段可能包含这其中一个或多
个字母,则匹配的记录指定字段将包含
A
或
B
或同时包含
C
、
D
和
E
。
•
搜索仅返回与所有字段的指定搜索条件匹配的记录。
•
许多字段接受一个或多个星号 (
*
) 作为通配符。
•
对于某些字段,可以在字段中指定
n/a
或
blank
识别信息不可用的字段的事件;使用
!n/a
或
!blank
识别已填入字段的事件。
•
大多数字段不区分大小写。
•
可以使用 CIDR 表示法指定 IP 地址。有关在 FireSIGHT 系统中输入 IPv4 和 IPv6 地址的详细
信息,请参阅
信息,请参阅
。
•
点击搜索字段旁边的添加对象图标 (
),使用对象作为搜索条件。
。
特定用户搜索条件
对于
用户类型
,有效的搜索条件为
ldap
、
pop3
、
imap
、
oracle
、
sip
、
http
、
ftp
、
mdsn
和
aim
;因
为未根据 SMTP 登录将用户添加至数据库,所以,输入
smtp
将不返回任何结果。
要搜索用户:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Search
。
系统将显示 Search 页面。
步骤 2
从表下拉列表中选择
Users
。
系统将显示 Users 搜索页面。
提示
要在数据库中搜索另一类型的事件,请从表下拉列表选择它。
步骤 3
在相应字段输入搜索条件。
如果您输入多个字段的条件,则搜索仅返回符合为所有字段指定的搜索条件的记录。
步骤 4
如果您计划保存搜索,也可以选择
Private
复选框,将搜索保存为私有,这样就只有您可以访问
它。否则,请保持清除此复选框,将搜索保存为适用于所有用户
提示
如果要将搜索另存为对权限有限的自定义用户角色的约束,必须将其另存为私有搜索。
步骤 5
或者,您可以保存搜索,以备以后使用。您有以下选项:
•
点击
Save
,保存搜索条件。
对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名
称,然后点击
称,然后点击
Save
。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存
成功 (如果您选择了
Private
,则只对您的帐户显示),您以后可以运行此搜索。
•
点击
Save As New
可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。
系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名称,然后点击
Save
。
搜索保存成功 (如果您选择了
Private
,则只对您的帐户显示),您以后可以运行此搜索。