原始数据
与用户属性事件源不同,原始数据被摄取到产品中,以关联其他数据。使用原始日志将增强以下特定功能:
- 日志搜索
- 仪表盘和报告
- 自定义警报
原始数据用于日志搜索,允许您查找特定的详细信息。虽然最好有一个特定格式的事件日志,但InsightIDR最终会接受您环境中任何基于文本的事件日志。
收集的数据
原始日志中的数据可能包括以下部分或全部信息:
- 时间戳
- 主机名
- 事件代码
- 描述
- 包名
- 目标用户名
- 工作站
- 地位
进一步建议
InsightIDR旨在简化整个环境中的搜索和分析。为了确保您可以在一个地方执行所有必要的调查步骤,您应该:
- 传输安全日志并部署代理。
- 传输任何其他可能有用的数据进行搜索,如自定义应用程序日志。
此外,您还可以启用自动日志结构将日志从已知格式(如CEF和JSON)转换为人类可读的格式,允许您轻松编写LEQL查询和搜索日志。
这页对你有帮助吗?