Skip to content

Documentație

Utilizarea căutărilor

Pentru a începe o căutare, introduceți interogarea dorită în caseta de căutare. Aceasta poate include un nume de utilizator, o cale de partajare în rețea, un nume de computer sau o expresie specifică găsită…

Rularea căutărilor

Pentru a începe o căutare, introduceți interogarea dorită în caseta de căutare. Aceasta poate include un nume de utilizator, o cale de partajare în rețea, un nume de computer sau o expresie specifică găsită în câmpurile evenimentelor.

Căutarea este efectuată pe toate tipurile de elemente disponibile - evenimente, utilizatori, fișiere, computere și altele - indiferent de tipul de element selectat în prezent.

Pentru a afișa evenimente doar dintr-o anumită perioadă de timp, folosiți opțiunile de filtrare a intervalului de timp din secțiunea Search and Filter a modulelor Dashboards sau Browser.

Căutările simple returnează rezultate în care termenul specificat apare oriunde în datele descoperite. Pentru a restrânge rezultatele și a crește relevanța, se pot folosi indicii de căutare prin prefixarea termenilor cu nume de câmpuri specifice. Pentru mai multe detalii, consultați Search Term Syntax de mai jos.

Automatizarea scenariilor complexe de căutare

Pentru a începe o căutare, introduceți interogarea dorită în caseta de căutare — aceasta poate fi un nume de utilizator, o cale de partajare în rețea, un nume de computer sau o expresie de găsit în câmpurile evenimentelor.

Anumite fluxuri de lucru de căutare sunt cel mai bine executate ca interogări în mai multe etape, în care rezultatele unei căutări sunt transmise automat către următoarea într-o secvență. Operatorul pipe (|) facilitează acest proces, în timp ce numele câmpurilor încadrate în acolade specifică ce câmpuri să fie analizate în cadrul datelor.

Exemplul 1:

Găsiți managerii tuturor utilizatorilor care au creat sau șters fișiere pe partajarea de rețea \\FILESRV1\Software

"\\FILESRV1\Software" OR Description:{SharePath} AND (What="File
Created" OR What="File Deleted") OR Who={Who} OR
DisplayName="{ManagedByDisplayName}"

Exemplul 2:

Găsiți evenimentele generate de utilizatorii din biroul Milwaukee pe computerul FILESRV1

Office="Milwaukee" OR Who:{SAMAccountName} AND Where:filesrv1

Exemplul 3:

Găsiți computerele pe care s-au autentificat membrii grupului Accounting

"Accounting" OR Who:{SAMAccountName} AND What:logon OR Where={Where}

Exemplul 4:

Găsiți toți utilizatorii din același birou ca utilizatorul dshaw

Who="dshaw" OR Office="{Office}"

Sintaxa termenilor de căutare

Folosiți următoarea sintaxă pentru termenii de căutare din caseta de căutare. Căutările nu sunt sensibile la majuscule.

Termeni dintr-un singur cuvânt

Aceasta este cunoscută drept căutare full-text. Căutarea implică toate câmpurile disponibile și folosește operatorul Contains.

SemnificațieSintaxăDetalii
Căutarea unui termen dintr-un singur cuvânt în orice atributCuvânt fără spații
Exemplu: john
john se potrivește cu John sau john în orice atribut, dar nu se potrivește cu stjohn în niciun atribut
Căutarea unui termen dintr-un singur cuvânt cu începutul specificat în orice atributCuvânt care se termină cu asterisc (*) fără spații
Exemplu: john
john* se potrivește cu John sau Johnson în orice atribut
Găsirea atributelor în care un anumit termen dintr-un singur cuvânt nu este conținut în niciun atributCuvânt fără spații cu o cratimă în față Exemplu: -john-john se poate potrivi cu intrările care conțin stjohn, dar nu se potrivește cu intrările care conțin john în niciun atribut
Găsirea intrărilor în care un anumit termen dintr-un singur cuvânt cu începutul specificat nu este conținut în niciun atributCuvânt care se termină cu asterisc (*) fără spații cu o cratimă în față
Exemplu: -john *
-john* se poate potrivi cu intrările care conțin stjohn, dar nu se potrivește cu intrările care conțin john sau johnson în niciun atribut
Combinații de termeni
SemnificațieSintaxăDetalii
Căutarea intrărilor cu anumiți termeni dintr-un singur cuvânt în orice atributCuvinte separate prin spații
Exemplu: john glen*
john glen* se potrivește cu john și glen, sau john și glenda, sau john și glen și glenda, oriunde s-ar găsi
Căutarea intrărilor care nu conțin anumiți termeni dintr-un singur cuvânt în niciun atributCuvânt fără spații
Exemple:
-john -glen
John -glen*
-john -glen se potrivește cu intrările care nu conțin john sau glen nicăieri
• john -glen* se potrivește cu intrările care conțin john în orice atribut și, în același timp, nu conțin glen sau glenda nicăieri
Căutarea intrărilor cu o anumită expresie din mai multe cuvinte în orice atributExpresie între ghilimele
Exemplu: “Account Logon”
“Account Logon” se potrivește cu intrările care conțin expresia exactă Account Logon în orice atribut
Căutarea intrărilor care nu conțin o anumită expresie din mai multe cuvinte în niciun atributExpresie între ghilimele
Exemplu: logon server01 -“Account Logon”
logon server01 -“Account logon” se potrivește cu intrările care conțin cuvintele Logon și server01 oriunde, dar nu conțin expresia exactă Account Logon în niciun atribut
Îndeplinirea unuia dintre termenii specificați (sau seturi de termeni)Termeni (cuvinte singulare sau expresii) separați prin operatorul OR; acest operator are următoarele particularități:
• este sensibil la majuscule: trebuie întotdeauna specificat ca OR
• denotă o alegere între tot ce este în stânga sa și tot ce este în dreapta sa
• puteți folosi mai mulți operatori OR într-o interogare; limita unei clauze OR este începutul interogării, sfârșitul interogării sau alt OR
Exemple:
• - paul john OR Thomas
• -“logon/logoff” server01 OR stjohn
paul john OR Thomas se potrivește cu intrările care conțin fie atât John, cât și Paul, fie Thomas oriunde
-“logon/logoff” server01 OR stjohn se potrivește fie cu intrările fără expresia Logon/Logoff care conțin server01, fie cu intrările cu stjohn (indiferent dacă conțin expresia Logon/Logoff)
Marcarea explicită a unei operații AND pentru claritate vizualăTermeni (cuvinte singulare sau expresii) separați prin operatorul AND; acest operator are următoarele particularități:
• Este sensibil la majuscule: trebuie întotdeauna specificat ca AND
• Poate fi omis oriunde apare
Exemple:
Paul AND john
Paul john
paul AND john și paul john sunt identice ca semnificație: căutați intrările în care apar atât paul, cât și john
Gruparea și imbricarea termenilor pentru operații logice asupra lorParanteze care încadrează termenii pe care doriți să-i grupați
Exemplu: (homer marge) OR (peter lois)
(homer marge OR (peter lois) se potrivește fie cu intrările care conțin atât homer, cât și marge, fie cu intrările care conțin atât peter, cât și lois.
Nu se potrivește cu intrările care conțin atât peter, cât și homer și care nu conțin lois sau marge

Căutarea în atribute specifice

Pentru a aplica termenul de căutare doar unui anumit atribut, prefixați numele atributului cu două puncte (:) sau cu semnul egal (=) la termenul de căutare, așa cum se arată în tabelul de mai jos. Dacă numele atributului este alcătuit din mai multe cuvinte, încadrați-l între paranteze drepte (ca în [log name]:security). Toate convențiile de sintaxă descrise mai sus se aplică, de asemenea.

Următoarea distincție este importantă:

  • Etichete mapate fără ambiguitate la atributele intrărilor; de exemplu, Path:"Documents and Settings" în intrările de acces la fișiere. În acest caz, căutarea implică câmpul specificat și folosește operatorul Contains.

  • Etichete mapate la atribute diferite în contexte diferite (cunoscute drept atribute normalizate); de exemplu, Where:primrose ar însemna domeniul primrose pentru utilizatori sau grupuri, computerul primrose pentru fișiere sau partajări și așa mai departe. În acest caz, căutarea implică câmpurile asociate după cum este necesar și poate chiar modifica termenii de căutare.

Specificarea ghilimelelor

Dacă termenul de căutare trebuie să includă ghilimele duble, atunci pentru fiecare ghilimea dublă trebuie să furnizați o ghilimea dublă suplimentară ca de caracter de escape. Vedeți următoarele exemple:

Pentru a găsi acest șirSpecificați acest termen
butonul “Cancel”“the " “Cancel” " button”
computer “kltest16”“computer " “kltest16”

Această cerință nu se aplică apostrofurilor, care sunt frecvent folosite drept ghilimele. Ghilimelele simple de acest tip nu necesită escape și trebuie specificate într-un șir simplu, ca în “local ‘Administrator’ user”.

Sintaxa filtrelor

Selectați unul dintre operatori (explicați în tabelul următor) și introduceți termenii de filtrare.

OperatorSintaxăExempluSemnificație
Contains[FieldName]:Name:PaulAtributul conține toți termenii specificați în același timp, în orice combinație
Does not containNOT [FieldName]:NOT Name:JohnAtributul nu conține niciunul dintre termenii specificați nicăieri
Equals[FieldName]:Name:“John Paul”Conținutul atributului este identic cu expresia specificată; nu încadrați expresia între ghilimele pentru acest operator
Does not equalNOT [FieldName]:NOT SamAccountName:paulConținutul atributului nu este identic cu expresia specificată;

Nu încadrați expresia între ghilimele pentru acest operator.

Următoarele reguli de sintaxă de căutare descrise mai sus se aplică, de asemenea, termenilor de filtrare:

  • Termenii nu sunt sensibili la majuscule

  • Termenul poate fi un singur cuvânt, mai multe cuvinte sau o expresie între ghilimele.

  • În termenii dintr-un singur cuvânt, un asterisc final este tratat drept caracter wildcard

  • În expresiile exacte, un asterisc este tratat drept caracter obișnuit.

Realizarea căutărilor în mai multe etape

Aveți opțiunea de a rula o căutare pe rezultatele unei alte căutări. Este o modalitate de a automatiza practicile de căutare consacrate și poate oferi o reprezentare mai clară și mai convenabilă a intențiilor dumneavoastră.

Acest lucru este similar cu modul în care ieșirea unei comenzi este redirecționată către o altă comandă ca intrare a acesteia în PowerShell și în limbajele shell Unix. În consecință, redirecționarea rezultatelor căutării este asigurată de binecunoscutul operator pipe (|).

Pentru a indica un câmp a cărui valoare trebuie transferată de la interogarea din stânga către cea din dreapta prin pipe, încadrați numele câmpului între acolade, ca în {Where} sau {EventID}. Exemplu

"rd.itsearch" | What:Logon AND Who:"{SAMAccountName}" |
Name="{Where}"

În această căutare în trei etape, rezultatele inițiale sunt rafinate de două ori. Mai întâi, găsește toți utilizatorii care sunt membri ai grupului rd.itsearch. Pentru acești utilizatori, găsește evenimentele în care numele contului SAM al utilizatorilor se află în câmpul Who, iar câmpul What conține Logon. Din evenimentele rezultate, selectează doar pe acelea care au oricare dintre numele de computere descoperite în câmpul Where.