使用发现结果
“**发现项**”窗口包含用于查看和处理发现项的功能。两个主要功能是:
- 按计数、日期、日志类型或规则严重程度排列的发现项信息柱状图。
- 按时间、发现项 ID、规则名称和其他详细信息排列的“**发现项**”列表。
您可以随时选择“**刷新**”以刷新“**发现项**”页面上的信息。
发现项图
发现项图可以按日志类型或规则严重程度显示发现项。使用“**分组依据**”下拉列表指定日志类型或规则严重程度。
要指定图表要显示的时间范围,请首先选择日历下拉列表。日期选择器窗口随即打开。
您可以使用“**快速选择**”设置来指定精确的时间窗口。
- 在第一个下拉列表中选择“**上一个**”或“**下一个**”来设置当前设置之前或之后的时间窗口。
- 在第二个下拉列表中选择一个数字以定义范围的值。
- 在第三个下拉列表中选择一个时间单位。可用选项包括秒、分钟、小时、天、周、月和年。选择“**应用**”将日期范围应用到图表。图表上的信息随之改变,如下图所示。
您可以使用左右箭头将时间窗口移到当前日期范围之前或之后。使用这些箭头时,开始日期和结束日期会出现在日期范围字段中。然后,您可以选择每个日期来设置绝对、相对或当前日期和时间。对于绝对和相对更改,请选择“**更新**”以应用更改。
作为替代方案,您可以在“**常用**”部分(参见日历下拉列表的上一张图片)中选择一个选项,方便地设置时间窗口。选项包括“**今天**”、“**昨天**”、“**本周**”和“**本周至今**”等日期范围。
当选择常用时间窗口之一时,您可以在日期范围字段中选择“**显示日期**”以填充日期范围。之后,您可以选择开始日期或结束日期来指定绝对、相对或当前日期和时间设置。对于绝对和相对更改,请选择“**更新**”以应用更改。
作为另一个替代方案,您可以从“**最近使用的日期范围**”部分选择一个选项以返回到上一个设置。
发现项列表
“**发现项**”列表显示所有发现项,包括发现项的时间、发现项 ID、生成发现项的规则名称、捕获发现项的检测器以及其他详细信息,如下图所示。
使用“**规则严重性**”下拉列表按严重性过滤发现项列表。使用“**日志类型**”下拉列表按日志类型过滤列表。
“**操作**”列包含每个发现项的两个选项:
- 斜箭头提供了打开“**发现项详细信息**”窗格的方法,该窗格根据创建检测器时定义的参数描述发现项,并包含生成发现项的文档。
- 铃铛图标允许您打开“**创建检测器警报触发器**”窗格,您可以在其中快速为特定发现项设置警报并根据需要修改规则及其条件。有关设置警报的信息,请参阅检测器创建文档中的步骤 2. 设置警报。
发现项详细信息
列表中的每个发现项还包含一个“**发现项 ID**”。除了使用“**操作**”中的斜箭头外,您还可以选择 ID 以打开“**发现项详细信息**”窗格。“**发现项详细信息**”示例如下所示。
查看相关文档
“**发现项详细信息**”窗格包含有关发现项的具体信息,包括生成发现项的文档。要调查导致发现项或跟随发现项的一系列事件,您可以选择“**查看相关文档**”以在“**发现**”面板中打开文档并查看其之前或之后的其他文档。
- 通过选择“**发现项**”列表中的“**发现项 ID**”来打开“**发现项详细信息**”。
-
在“**文档**”部分中,选择“**查看相关文档**”。如果文档已存在索引模式,则“**发现**”面板将打开并显示文档。如果索引模式不存在,则会打开“**创建索引模式以查看文档**”窗口并提示您创建索引模式,如下图所示。
- 在“**创建索引模式以查看文档**”窗口中,索引模式名称会自动填充。输入用于确定日志事件时间的日志索引中相应的时间字段。选择“**创建索引模式**”。“**创建索引模式以查看文档**”确认窗口将打开。
-
在确认窗口中选择“**查看相关文档**”。“**发现**”面板将打开,如下图所示。
“**发现**”面板显示了生成发现项的文档,其背景高亮显示。事件之前或之后的其他文档也一并显示。
有关 OpenSearch Dashboards 中“**发现**”的详细信息,请参阅探索数据。
查看关联发现项
要查看发现项如何与其他发现项关联,请选择“**关联**”选项卡。关联是发现项之间的关系,表示涉及多种日志类型的特定威胁场景。“**关联发现项**”表中的信息显示关联发现项生成的时间、发现项的 ID、用于生成发现项的日志类型、其威胁严重程度以及关联分数(衡量其与参考发现项的接近程度),如下图所示。
您可以选择“**查看关联图**”以可视化发现项之间的关联。有关使用关联图的更多信息,请参阅使用关联图。