「运维有小邓」搜索日志数据以作为网络安全情报

检测黑客和内部人员的活动绝非易事。企业可能拥有最好的网络安全解决方案来检测网络异常并减轻这些异常，但企业资产仍会继续受到影响。保护您的网络不受任何攻击是不可能的，但有一个可靠的来源可帮助您追踪黑客和内部人员的活动 - 您的日志数据。IT管理员需要通过搜索他们的日志数据来进行取证调查，以追查网络入侵者和网络问题。您的日志数据详细记录了网络上发生的所有活动。IT管理员应该利用他们机器生成的日志数据提供的网络安全情报。

内部威胁

手动搜索您的日志数据是不可能的，因为您必须要浏览数千个事件记录。如果您能通过输入某些关键词在几秒钟内获得您正在搜索的内容，那岂不是很棒? 这将完全消除您手动搜索日志的痛苦过程。使用EventLog Analyzer的日志搜索功能，您可以获得所需的精确信息，并采取主动措施来保护您的网络及减轻网络威胁。

 日志搜索

一、EventLog Analyzer的日志搜索引擎

EventLog Analyzer的日志搜索功能非常简单，并允许您进行自由格式搜索。当用户在搜索栏中输入搜索条件时，EventLog Analyzer会快速搜索到原始日志并检索搜索查询的结果。搜索标准可以由通配符、短语和Boolean运算符。EventLog Analyzer还允许您执行分组搜索和范围搜索。在进行搜索时，EventLog Analyzer不会将您限制为一组预定义的字段。您可以使用事件ID、严重性、来源、用户名、IP地址等或全部组合来进行搜索以满足您的搜索要求。

EventLog Analyzer的日志搜索可帮助用户执行日志取证分析。使用EventLog Analyzer的日志搜索功能，用户可以轻松深入查看在万亿字节的原始日志数据并获取他们正在查找的内容。

日志搜索引擎

二、使用基本搜索和高级搜索进行日志搜索

EventLog Analyzer提供两种不同的日志搜索功能，即基本搜索和高级搜索。这两种搜索功能均可为日志数据提供强大的日志搜索功能。

EventLog Analyzer的基本和高级搜索让网络管理员能够准确找到导致发生安全活动的确切日志条目，查找相应安全事件发生的确切时间、发起活动的人员以及发起活动的位置。

 日志搜索功能

三、基本搜索

EventLog Analyzer的基本搜索允许用户通过在搜索框中输入搜索查询来搜索任何内容。在输入搜索查询时，用户将获得自动建议，从而使搜索过程更加简化。基本搜索允许用户在构建搜索查询时使用通配符、短语和Boolean运算符。使用基本搜索时也可以进行分组搜索和范围搜索。

四、高级搜索

EventLog Analyzer的高级搜索具有更复杂的搜索功能，但与基本搜索一样简单易用。当用户尝试通过关联多个事件和属性来进行根本原因分析时，使用高级搜索。高级搜索使用户可以一次执行针对多个搜索条件组的搜索。筛选器也可用于高级搜索，以过滤某些事件类型、严重性和其他属性。

五、使用“标签”进行日志搜索

IT管理员构建复杂的查询来执行日志搜索。当他们想要更频繁地执行这种搜索，以及每次他们必须输入整个复杂查询以获得他们的搜索结果时，真正的困难就出现了。如果将这些日志标记为书签，无需输入查询即可轻松完成搜索，问题便迎刃而解。

EventLog Analyzer

EventLog Analyzer为您提供了一个方便的标记工具，使您的日志搜索变得更简单、更有效。标记工具书签记录您的日志，在您下次要搜索这些日志时，只需通过标记名称搜索它们，而无需再输入整个搜索。此功能还为您提供了添加/编辑搜索条件的空间，让您可以随时优化搜索。您还可以在标签旁添加故障诊断提示或备注，帮助其他用户分析这些信息日志。