使用视觉搜索
Visual Search允许您在日志数据中获取可见性,而无需执行任何预先配置。通过Visual Search,您可以在日志中快速查找隐藏的信息,在宽的时间范围内可视化大量数据,过滤和钻取数据,并对重要事件采取行动。您还可以通过更改时间范围来控制可视化。
开始
Visual Search的工作原理是自动解析您的日志数据,并选择2个最频繁出现的关键字在您选择的日志。InsightIDR基于这些键生成可视化,并在日志数据上方显示匹配搜索结果的时间轴。查看您的可视化:转到日志搜索,选择日志,然后单击可视化标签。
添加新的可视化
您可以从所选日志的可视化选项卡中添加新的可视化。
- 点击“添加卡片”按钮。
- 选择或输入要可视化的键。
- 选择图形类型。
- 要保存可视化,请再次单击Add Card。
配置您的可视化
您可以通过单击要编辑的特定可视化上的设置按钮配置可视化搜索模式中显示的可视化类型。
从这里你可以配置以下项目:
- 这就是形象化。
- 要进行的计算。
- 要用于呈现查询结果的图表类型。
与你的可视化互动
可视化是交互式的,这意味着你可以通过在任何卡片上选择一个数据点来过滤搜索结果来更新你的查询。卡片将自动更新基于他们如何与你的选择。
要深入钻取特定值,只需单击可视化中的系列即可。在下面的示例中,我们钻入第一个条形图,向我们展示服务是“Outlook.exe”的所有条目的结果。
通过在条形图中选择“结果”切片,我们可以继续进一步深入钻取,仅显示包含结果=“failed_bad_login”的条目。在过滤数据时,查询生成器会自动更新。如果切换到条目或表视图选项卡,您的搜索过滤器将留下。
这个页面对你有帮助吗?