查询FIM事件日志

在你打开文件完整性监控(FIM)在InsightIDR和配置您的Windows机器对于文件审计，您的资产将向InsightIDR发送日志数据。这些文件事件可以在文件修改活动它允许您充分利用文件完整性监控(FIM)特性。

例如，FIM可以帮助你:

根据您的需要，使用以下查询之一创建日志搜索查询，以帮助您监控您的环境:

读到建立一个查询或查看其他示例查询帮助您创建自定义查询。

每个资产的FIM事件

这个日志搜索查询显示了发生在Windows资产上的所有FIM事件，结果按资产分组。这个查询的方法是:(asset_os_family = windows) groupby(资产)

这个日志搜索查询显示了Windows资产上发生的所有FIM事件，结果按文件名分组。这个查询的方法是:(asset_os_family = windows) groupby (file_name)限制(100)

这个日志搜索查询显示了Windows资产上发生的所有FIM事件，结果按文件事件类型分组。这个查询的方法是:(asset_os_family = windows) groupby (file_event)

这个日志搜索查询显示只修改了一个文件的用户。这个查询的方法是:where(asset_os_family=windows AND file_name=< name>)

此日志搜索查询显示单个文件的每日事件量。这个查询的方法是:where(asset_os_family=windows AND file_name=)

这个日志搜索查询显示了在一个Windows资产上发生的所有进程。这个查询的方法是:where(asset_os_family=windows AND asset=)

配置文件完整性监控(FIM)与配置不同文件访问活动监控(FAAM)。虽然FAAM使用本地Microsoft审计工具有一个类似的配置过程，但这是它们唯一的相似之处。

这个页面对你有帮助吗?