使用 UDM 搜索时间范围和管理查询

借助 Google Security Operations，您可以搜索账号中存储的长达一年的企业数据。它还包含一些工具，可让您运行多个 UDM 搜索查询，并稍后检索和共享这些查询的结果。

使用 UDM 搜索长达一年的数据

您最多可对过去一年的 UDM 数据进行 UDM 搜索。如需调整 UDM 搜索的时间段，请完成以下步骤：

1. 依次前往调查 > SIEM 搜索。
2. 点击时间选择器字段以打开时间选择器对话框。
3. 在范围标签页（默认标签页）中，选择过去 5 分钟到去年之间的任意选项，以调整时间范围。
4. 使用开始和结束字段选择更具体的日期范围（例如，11 月的前两周）。
5. 通过选择具体的开始值和结束值（例如 03:00 和 08:30）来调整时间。
6. 点击应用，然后点击运行搜索。

运行并发搜索和管理搜索查询

若要进行并发搜索和存储搜索结果，则需要启用搜索记录功能。如需确保搜索记录处于开启状态，请完成以下步骤：

1. 依次前往调查 > SIEM 搜索。

2. 点击历史记录。如果系统显示搜索记录已停用消息，请继续执行下一步。如果您没有看到此消息，则表示您的账号已启用搜索记录。

3. 点击 more_vert ，然后选择启用搜索记录。

管理搜索查询

您可以运行多个 UDM 搜索、检索之前的查询搜索结果，以及与团队中的其他成员分享您的查询结果：

• 运行多个 UDM 搜索：在搜索查询进行期间，您可以在查询编辑器中运行其他搜索。Google 安全运营团队会继续运行您之前的搜索，并并行运行新搜索。

• 查看查询结果：滚动查询历史记录，并在运行查询后的 24 小时内选择搜索结果。点击历史记录，然后从列表中选择一个查询。

  正在进行的查询会显示圆形状态图标。已完成的查询会显示一个绿色对勾标记图标，以及一个用于指示查询返回的事件数的计数器。点击已完成的查询即可显示结果。这些结果会缓存，并且仅包含查询运行时可用的数据。不过，您可以点击 缓存 重新运行，以针对最新数据运行查询。此新运行作业会添加到搜索记录中，并且在查询完成后，系统会提供结果。

• 分享查询结果：复制查询结果的网址，以便与其他用户分享。

  存储搜索结果时，系统会将执行搜索的用户的 RBAC 权限范围一并存储。当其他用户查看这些结果时，系统会将查看者的 RBAC 权限范围与存储的权限范围进行比较。如果查看者的范围更为严格，系统会显示错误消息，并且他们将无法查看结果。

  存储的搜索结果会在运行查询后的 24 小时后过期。不过，您的搜索查询仍会显示在历史记录窗格中。您可以重新运行搜索，并且结果在查询运行时间后的最多 24 小时内可用。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。