下载事件

支持的平台:

您可以显示和下载与每次威胁检测相关联的大量事件。这样,您就可以在 Google Security Operations 账号中存储的大量数据中搜索,以寻找安全问题。

显示和下载事件

完成以下步骤以显示和下载与检测关联的事件:

  1. 在导航栏中,依次点击检测 > 规则和检测

  2. 点击规则信息中心标签页。

    规则信息中心 规则信息中心

  3. 点击规则以打开“规则检测”视图。

  4. 从“检测”列表中选择一项检测,然后点击左侧的箭头以展开示例事件列表。规则中定义的每个事件变量最多只能有 10 个事件样本。超出此上限的事件示例将被省略。 如果检测结果中省略了事件示例,系统会显示下载为 CSV 选项。最多可以下载 10 万个事件。 界面中的事件示例按事件时间戳排序。从 Chronicle API 读取检测时,Google 不保证对事件样本进行任何排序。

    使用示例事件进行检测 “使用示例事件进行检测”已展开和“下载全部”选项。

  5. (可选)您可以点击图标,并向示例事件列表添加其他信息列。此信息将包含在下载的 CSV 文件中。

    “列”选项 “列”选项

  6. 点击下载为 CSV 链接。事件示例将下载为 CSV 文件,然后您可以在大多数电子表格应用中打开该文件。