安全调查工具
在调查工具中自定义搜索时,您可以按特定搜索属性对内容进行分组,以便快速了解问题的广度。例如,在根据设备日志事件进行搜索时,您可以按设备型号对搜索条件进行分组。
在自定义搜索时,如需按特定属性对结果进行分组,请执行以下操作:
- 在搜索过程中,点击对结果进行分组。
- 从下拉菜单中选择搜索条件,例如设备型号。
- 点击搜索。
在此示例中,搜索结果中会显示设备列表。对于搜索结果中的每项内容,系统会显示设备型号的名称,以及每种设备型号出现的次数,且出现次数最多的设备型号排列在最上方。
然后,您可以在搜索结果中滚动查看,添加更多搜索条件,具体方法如下:点击“更多”图标,然后点击添加搜索条件。
注意:出现次数指的是事件在相应报告中记录的次数。举例来说,如果分组依据为群组电子邮件地址,则“出现次数”列会显示按指定群组电子邮件地址过滤的事件条目在“群组日志事件数据”出现的次数。