使用 UDM 搜索时间范围和管理查询

借助 Google Security Operations，您可以搜索账号中存储的最多一年的企业数据。它还包含许多工具，可让您运行多个 UDM 搜索查询，并在稍后检索和分享这些查询的结果。

使用 UDM 搜索长达一年的数据

您可以对最多一年的 UDM 数据执行 UDM 搜索。如需调整 UDM 搜索的时间段，请完成以下步骤：

1. 依次前往调查 > SIEM 搜索。
2. 点击时间选择器字段，打开时间选择器对话框。
3. 在范围标签页（默认标签页）中，选择过去 5 分钟到去年之间的任意选项，以调整时间范围。
4. 使用开始和结束字段选择更具体的日期范围（例如，11 月的前两周）。
5. 选择具体的开始值和结束值（例如 03:00 和 08:30）来调整时间。
6. 点击应用，然后点击运行搜索。

运行并发搜索和管理搜索查询

并发搜索和存储结果需要启用搜索记录功能。如需确保搜索记录处于开启状态，请完成以下步骤：

1. 依次前往调查 > SIEM 搜索。

2. 点击历史记录。如果系统显示搜索记录已停用消息，请继续执行下一步。如果您未看到此消息，则表示您的账号已启用搜索记录。

3. 点击 more_vert ，然后选择保留搜索记录。

管理搜索查询

您可以运行多次 UDM 搜索、检索之前的查询搜索结果，以及与团队的其他成员分享查询结果：

• 运行多项 UDM 搜索：在搜索查询正在进行时，您可以在查询编辑器中运行其他搜索。Google SecOps 会继续运行之前的搜索，并同时运行新的搜索。

• 查看查询结果：滚动浏览查询历史记录，然后选择在运行查询后 24 小时内的搜索结果。点击历史记录，然后从列表中选择一个查询。

  正在进行的查询会显示一个圆形状态图标。已完成的查询会显示一个绿色对勾标记图标，以及一个指示查询返回的事件数量的计数器。点击已完成的查询即可显示结果。这些结果会被缓存，并且仅包含查询运行时可用的数据。不过，您可以点击 缓存 重新运行，针对最新数据运行查询。新运行会添加到搜索历史记录中，并在查询完成后提供结果。

• 分享查询结果：复制查询结果的网址，以便与其他用户分享。

  存储搜索结果时，运行搜索的用户的 RBAC 范围也会随之存储。当其他用户查看这些结果时，系统会将查看者的 RBAC 范围与存储的范围进行比较。如果查看者的范围更受限，系统会显示错误，并且他们将无法查看结果。

  存储的搜索结果会在查询运行 24 小时后过期。不过，您的搜索查询仍可在历史记录窗格中查看。您可以重新运行搜索，结果将在查询运行时间后的 24 小时内提供。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。