日志搜索

您所连接的事件源和环境系统以原始日志的形式生成数据。在InsightIdr中，日志数据被分类为日志集，日志或日志条目：

• 一种日志集是多个日志流的集合。在InsightIdr中，日志集由日志流中的事件类型定义，例如防火墙，DNS，Active Directory和其他事件类型。
• 一种日志是一组日志条目或单个日志流。在InsightIDR中，日志通常根据日志流的源来命名。例如，Firewall: New York Office。
• 一种日志条目是一个单独的日志事件。

日志搜索获取原始的、收集的数据的每个日志，并自动为您将它们分类为日志集。将新的日志事件添加到现有日志中，并根据创建日志事件的时间与日志集中的其他日志进行分组。一旦你对一个日志、一个日志集或多个日志集应用搜索，你可以做多个事情，包括:

• 搜索原始术语的日志搜索语言。
• 建立自己的查询通过字段组或计算特定项目。
• 查看日志视觉搜索。
• 创建标记和警报在您的日志数据上。
• 导出数据以与利益相关者分享。

编辑日志流和日志事件

根据您的保留策略，日志数据存储在InsightIDR中。尽管具有管理访问权限的用户能够永久删除日志集，但一旦InsightIDR接收了单个日志事件，就无法删除或编辑它们。InsightIDR可以向事件中添加丰富数据，如地理位置或组织数据，但是不会删除或替换原始事件数据。InsightIDR中的事件反映源系统最初生成的事件。

日志视图选项

查看日志条目时，可以通过以JSON格式查看日志数据来使读取日志更轻松。点击参赛作品或表格改变观点。

所有规范化的日志条目都可以通过搜索字符串或搜索关键字=值对来查询。

而在Table View中，您可以根据选定的键、按列筛选或单击source_user并输入要搜索的用户名来快速创建查询，并运行计算。

搜索您的数据

InsightIdr允许用户搜索其数据的不同方式，包括Regex，String，KeyValue或关键字搜索。看使用搜索语言为更多的信息。

或者，您可以根据提供的查询构建查询示例查询。

您还可以在表视图中构建查询：

1. 在Table视图中，选择要查询的关键字。
2. 选择AN.操作符并输入一个键值。
3. 单击搜索。
4. 您现在可以在查询中搜索。

导出数据

您可以导出可解析的日志，以便方便地与涉众共享。查看日志表时，请选择导出到CSV.。

您将看到显示一个确认消息。您的CSV文件将可用报告档案在“条目导出”选项卡下。