此页面由 Cloud Translation API 翻译。

使用 UDM 搜索时间范围和管理查询

支持的语言：

Google SecOps SIEM

借助 Google Security Operations，您可以搜索账号中存储的最多一年的企业数据。它还包含许多工具，可让您运行多个 UDM 搜索查询，并在稍后检索和分享这些查询的结果。

使用 UDM 搜索长达一年的数据

您可以对最多一年的 UDM 数据执行 UDM 搜索。如需调整 UDM 搜索的时间段，请完成以下步骤：

并发搜索和存储结果需要启用搜索记录功能。如需确保搜索记录处于开启状态，请完成以下步骤：

您可以运行多次 UDM 搜索、检索之前的查询搜索结果，以及与团队的其他成员分享查询结果：

运行多项 UDM 搜索：在搜索查询正在进行时，您可以在查询编辑器中运行其他搜索。Google SecOps 会继续运行之前的搜索，并同时运行新的搜索。
查看查询结果：滚动浏览查询历史记录，然后选择在运行查询后 24 小时内的搜索结果。点击历史记录，然后从列表中选择一个查询。

正在进行的查询会显示一个圆形状态图标。已完成的查询会显示一个绿色对勾标记图标，以及一个指示查询返回的事件数量的计数器。点击已完成的查询即可显示结果。这些结果会被缓存，并且仅包含查询运行时可用的数据。不过，您可以点击缓存 重新运行，针对最新数据运行查询。新运行会添加到搜索历史记录中，并在查询完成后提供结果。
分享查询结果：复制查询结果的网址，以便与其他用户分享。

存储搜索结果时，运行搜索的用户的 RBAC 范围也会随之存储。当其他用户查看这些结果时，系统会将查看者的 RBAC 范围与存储的范围进行比较。如果查看者的范围更受限，系统会显示错误，并且他们将无法查看结果。

存储的搜索结果会在查询运行 24 小时后过期。不过，您的搜索查询仍可在历史记录窗格中查看。您可以重新运行搜索，结果将在查询运行时间后的 24 小时内提供。