下载事件

支持的平台:

您可以显示和下载与每次威胁检测相关联的大量事件。这样,您就可以在 Google Security Operations 账号中存储的大量数据中搜索,以寻找安全问题。

显示和下载事件

完成以下步骤以显示和下载与检测关联的事件:

  1. 在导航栏中,依次点击检测 > 规则和检测

  2. 点击规则信息中心标签页。

    规则信息中心 规则信息中心

  3. 点击规则以打开“规则检测”视图。

  4. 从“检测”列表中选择一项检测,然后点击左侧的箭头以展开示例事件列表。规则中定义的每个事件变量最多只能有 10 个事件样本。超出此上限的事件示例将被省略。 如果检测结果中省略了事件示例,系统会显示下载为 CSV 选项。最多可以下载 10 万个事件。 界面中的事件示例按事件时间戳排序。从 Chronicle API 读取检测结果时,Google 不保证对事件样本进行任何排序。

    使用示例事件进行检测 “使用示例事件进行检测”已展开和“下载全部”选项。

  5. (可选)您可以点击图标,并向示例事件列表添加其他信息列。此信息将包含在下载的 CSV 文件中。

    “列”选项 “列”选项

  6. 点击下载为 CSV 链接。事件示例将下载为 CSV 文件,然后您可以在大多数电子表格应用中打开该文件。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。