如何搜索 Netskope 事件

预定义筛选器允许您查找页面上显示的基于已定义数据的特定事件。页面上的列反映了单击 添加筛选器时可用的预定义筛选器。

如果预定义筛选器旁边有切换箭头，则表示有可供选择的扩展选项。例如，单击“曝光”旁边的切换开关允许您选择一个或多个预定义选项，或搜索更多选项。完成后，单击 Apply。

搜索结果将显示在页面上。

要在 DLP 页面上使用查询搜索，请单击 Query Mode 按钮。

查询语言搜索条目由简单语句、组和布尔运算符组成。简单查询的格式为 [FIELD][OP][VALUE]。

可以按一定范围查询 [FIELD]。例如： User from aaa to zzz, or timestamp from 0 to 1361485641。

简单语句可以与布尔运算符结合使用。例如： field1 eq value1 and field2 lte value2, not (field1 eq value1), field1 eq value1 or not (field2 lte value2)。

可以通过将语句用括号括起来进行分组，以覆盖优先。例如： (field1 eq value1 or field2 eq value2) and (field3 eq value3)。

使用查询语言时，请牢记搜索的日期范围。增加日期范围可能会改善搜索结果。要更改日期范围，请使用页面右上角的下拉列表。

事件查询语言搜索示例：

示例 1：

我们的云存储应用程序是否存在异常？（“Anomalies”页面）

查询示例：

category eq 'Cloud Storage'

示例 2：

是否发生了任何上传异常？（“Anomalies”页面）

查询示例：

activity eq 'Upload'

示例 3：

是否检测到任何恶意软件（特别是病毒）？（“Malware”页面）

查询示例：

malware_type eq 'Virus'

示例 4：

特定用户是否遇到恶意软件？（“Malware”页面）

查询示例：

user eq '[USEREMAIL]'

示例 5

我的网络中是否有严重级别为“严重”的对象？（DLP 页面）

查询示例：

severity eq 'critical'

示例 6：

是否有任何 DLP 事件创建了警报？（DLP 页面）

查询示例：

dlp_action eq 'alert'