原始数据

与用户属性事件源不同,原始数据被摄取到产品中,以关联其他数据。使用原始日志将增强以下特定功能:

  • 日志搜索
  • 仪表盘和报告
  • 自定义警报

原始数据用于日志搜索,允许您查找特定的详细信息。虽然最好有一个特定格式的事件日志,但InsightIDR最终会接受您环境中任何基于文本的事件日志。

收集的数据

原始日志中的数据可能包括以下部分或全部信息:

  • 时间戳
  • 主机名
  • 事件代码
  • 描述
  • 包名
  • 目标用户名
  • 工作站
  • 地位

进一步建议

InsightIDR旨在简化整个环境中的搜索和分析。为了确保您可以在一个地方执行所有必要的调查步骤,您应该:

  1. 传输安全日志并部署代理。
  2. 传输任何其他可能有用的数据进行搜索,如自定义应用程序日志。

此外,您还可以启用自动日志结构将日志从已知格式(如CEF和JSON)转换为人类可读的格式,允许您轻松编写LEQL查询和搜索日志。