搜索

借助搜索功能，您可以使用 YARA-L 2.0 语法在 Google Security Operations 实例中查找统一数据模型 (UDM) 事件和提醒。搜索功能包含各种选项，可帮助您浏览 UDM 数据。您可以搜索与共享搜索字词相关联的个别 UDM 事件和 UDM 事件组。

在使用数据 RBAC 的系统中，您只能看到与您的镜重范围匹配的数据。如需了解详情，请参阅数据 RBAC 对搜索的影响。

对于 Google SecOps 客户，还可以从连接器和Webhook 提取提醒。您还可以使用搜索功能查找这些提醒。

如需详细了解 UDM，请参阅将日志数据的格式设置为 UDM 和 UDM 字段列表。

访问搜索

您可以使用以下选项访问 Google SecOps 搜索功能：

• 在导航栏中，依次点击调查 > 搜索。

• 在搜索字段中，输入 Google SecOps 中任何搜索字段的有效 UDM 字段，然后按 CTRL+Enter。

  

  图 1. 用于探索事件趋势的搜索窗口示例。

以下部分详细介绍了如何使用搜索功能。

使用搜索功能

• 搜索表达式由要搜索的 UDM 字段、运算符和要搜索的数据值组成。

• 如果查询表达式有效，Google SecOps 控制台会启用运行搜索按钮。

• UDM 查询基于统一数据模型字段列表中定义的字段。您可以使用过滤条件或原始日志搜索浏览和选择这些 UDM 字段。

• 如需调整返回的事件数量，请点击 more_vert 更多，然后选择搜索设置。如需了解详情，请参阅搜索设置。

• 如需更改数据范围，请打开日期范围窗口。

如需使用搜索功能，请完成以下步骤：

1. 前往搜索页面。
2. 在 Search（搜索）字段中，输入搜索表达式。
3. 如需搜索事件，请在搜索字段中输入 UDM 字段名称。在您输入时，自动补全功能会根据您的输入建议有效的 UDM 字段。

4. 输入有效的 UDM 字段后，选择有效的运算符。界面会根据您输入的 UDM 字段显示可用的有效运算符。支持以下运算符：

   • <, >
   • <=, >=
   • =, !=
   • nocase - 支持字符串

5. 输入有效的 UDM 字段和运算符后，添加要搜索的日志数据值。如需了解详情，请参阅设置要搜索的数据值的格式。

6. 点击运行搜索以运行搜索。

   事件结果会显示在搜索页面的事件时间轴表格中。

7. 可选：手动或使用控制台添加其他 UDM 过滤条件，以缩小结果范围。

设置要搜索的数据值的格式

请按照以下准则设置数据值的格式：

• 数据类型：根据数据类型设置数据值的格式：

  • 枚举值：使用为所选 UDM 字段定义的有效枚举值。

    例如：文本值，全部大写，用英文双引号括起来：

    metadata.event_type = "NETWORK_CONNECTION"

  • 其他值：使用 field[key\] = value 格式在 additional 和 labels 字段中进行搜索。

    例如：

    additional.fields["key"]="value"

  • 布尔值：使用 true 或 false（不区分大小写，无需引号）。

    例如：

    network.dns.response = true

  • 整数：使用不带引号的数值。

    例如：

    target.port = 443

  • 浮点值：对于 float 类型的 UDM 字段，请输入十进制值（例如 3.1）或整数（例如 3）。

    例如：

    security_result.about.asset.vulnerabilities.cvss_base_score = 3.1

  • 正则表达式：使用正斜杠 (/) 将正则表达式括起来。

    例如：

    • principal.ip = /10.*/

    • 搜索 psexec.exe（窗口）的执行：

      target.process.command_line = /\bpsexec(\.exe)?\b/ nocase

    如需详细了解正则表达式，请参阅正则表达式页面。

  • 字符串：将文本值括在双引号中。

    例如：

    metadata.product_name = "Google Cloud VPC Flow Logs"

• 不区分大小写的字符串：使用 nocase 运算符可匹配字符串中大写和小写字符的任意组合。

  例如：

  • principal.hostname != "http-server" nocase
  • principal.hostname = "JDoe" nocase
  • principal.hostname = /dns-server-[0-9]+/ nocase

• 转义字符串中的字符：使用反斜线转义特殊字符，如下所示：

  • 使用 \\ 转义反斜杠 (\)。
  • 使用 \" 对双引号 (") 进行转义。

  例如：

  • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
  • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

• 布尔表达式：使用 AND、OR 和 NOT 组合条件并缩小结果范围。

  以下示例展示了支持的布尔运算符（AND、OR 和 NOT）：

  • A AND B
  • A OR B

  • 使用圆括号 ( ) 对表达式进行分组并控制求值顺序：

    (A OR B) AND (B OR C) AND (C OR NOT D)

  示例：

  • 在财务服务器上搜索登录事件：

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

  • 使用运算符 (>) 搜索发送了超过 10 MB 数据的连接：

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

  • 使用多个条件搜索 winword.exe 启动 cmd.exe 或 powershell.exe：

    metadata.event_type = "PROCESS_LAUNCH" and
     principal.process.file.full_path = /winword/ and
     (target.process.file.full_path = /cmd.exe/ or
      target.process.file.full_path = /powershell.exe/)

• 在 additional 和 labels 字段中搜索键值对：

  additional 和 labels 字段可用作可自定义的容器，用于存储无法映射到标准 UDM 字段的事件数据。每个条目存储单个键值对。

  • additional 字段可以包含多个键值对。
  • labels 字段只能包含单个键值对。

  使用以下语法指定要在 additional 和 labels 字段中搜索的键值对：

  field[key\] = value。

  例如：

  additional.fields["key"]="value"

  在 additional 和 labels 字段中使用特定键值对进行搜索的示例：

  • 搜索包含指定键值对的事件：

    • additional.fields["pod_name"] = "kube-scheduler"

    • metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"

  • 将 AND 运算符与键值对搜索结合使用：

    additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

  • 搜索包含指定键的所有事件，无论值如何：

    additional.fields["pod_name"] != ""

  • 使用正则表达式搜索包含特定键的事件：

    additional.fields.value.string_value = "mystring"

  • 使用正则表达式搜索使用多个同名键的事件：

    additional.fields.key = /myKeynumber_*/

  • 使用正则表达式和 nocase 运算符：

    • additional.fields["pod_name"] = /br/

    • additional.fields["pod_name"] = bar nocase

• 使用代码块注释和单行注释。

  • 使用块注释：

      additional.fields["pod_name"] = "kube-scheduler"
      /*
      Block comments can span
      multiple lines.
      */
      AND additional.fields["pod_name1"] = "kube-scheduler1"

  • 使用单行注释：

    additional.fields["pod_name"] != "" // my single-line comment

搜索设置

您可以在 UDM 搜索设置中设置搜索结果的数量上限。这些设置因用户而异。

1. 点击运行搜索旁边的 more_vert更多，然后点击搜索设置。

2. 选择返回的结果数上限。选项包括 1K、10K、100K、1M 和 custom，值介于 1 和 1M 之间。默认值为 1M。选择较小结果集大小时，查询通常会运行得更快。

搜索返回的结果太多

如果您的搜索范围过于宽泛，Google SecOps 会显示一条警告消息，指明无法显示所有搜索结果。

在这种情况下，系统只会检索最新的结果，最多可搜索 100 万个事件和 1,000 条提醒。不过，系统可能还会发现更多匹配的事件和提醒，但并未显示。

为确保您能获得所有相关结果，不妨考虑应用其他过滤条件来优化搜索。缩小搜索范围有助于将数据集缩减到可管理的大小，并提高准确性。我们建议您调整并重新运行搜索，直到结果符合系统的显示限制。

搜索结果页会显示最新的 10,000 条结果。您可以过滤和优化搜索结果以显示较早的结果，而不必修改并重新运行搜索。

搜索分组字段

分组字段是相关 UDM 字段组的别名。您可以使用它们同时查询多个 UDM 字段，而无需单独输入每个字段。

以下示例展示了如何输入查询，以匹配可能包含指定 IP 地址的常见 UDM 字段：

ip = "1.2.3.4"

您可以使用正则表达式和 nocase 运算符匹配分组字段。还支持参考列表。分组字段还可以与常规 UDM 字段结合使用，如以下示例所示：

ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

分组的字段在汇总中有一个单独的部分。

分组 UDM 字段的类型

您可以在以下所有分组 UDM 字段中进行搜索：

查找搜索查询的 UDM 字段

在编写搜索查询时，您可能不知道要包含哪个 UDM 字段。借助 UDM 查找，您可以快速找到名称中包含文本字符串或存储特定字符串值的 UDM 字段名称。UDM Lookup 函数不适用于搜索其他数据类型，例如字节、布尔值或数字。您可以选择 UDM 查询返回的一个或多个结果，并将其用作搜索查询的起点。

如需使用 UDM 查询，请执行以下操作：

1. 在搜索页面上，点击 UDM 查询。

2. 在 UDM 查询对话框中，选择以下一个或多个匹配选项，以指定要搜索的数据范围：

   • UDM 字段：在 UDM 字段名称中搜索文本。

     例如：network.dns.questions.name 或 principal.ip

   • 值：在分配给 UDM 字段的值中搜索文本。

     例如：dns 或 google.com。

3. 在 UDM 字段/值查找字段中输入或修改字符串。在您输入时，对话框中会显示搜索结果。

   在 UDM 字段和值中搜索时，结果会略有不同：

   • 在 UDM 字段名称中搜索文本字符串会返回在名称的任意位置找到的完全匹配项。

     

     图 3.在 UDM 查询中搜索 UDM 字段名称。

   • 在值中搜索文本会返回以下结果：

     • 如果在值的开头或结尾找到该字符串，系统会在结果中突出显示该字符串，以及 UDM 字段名称和日志提取时间。
     • 如果在值的其他位置找到文本字符串，结果会显示 UDM 字段名称和文本可能的值匹配。

     

     图 2. 在 UDM 查询的值中进行搜索。

4. 在结果列表中，您可以执行以下操作：

   • 点击 UDM 字段的名称可查看该字段的说明。

   • 点击每个 UDM 字段名称左侧的复选框，选择一个或多个结果。

   • 点击重置按钮可取消选择结果列表中的所有已选字段。

5. 如需将所选结果附加到搜索页面上的搜索字段，请执行以下操作之一：

   • 点击附加到搜索。

   • 点击复制 UDM 将所选结果复制到剪贴板。然后，关闭 UDM Lookup 对话框，并将搜索查询字符串粘贴到 Search 页面上的 Search 字段中。

   Google SecOps 会将所选结果转换为搜索查询字符串，作为 UDM 字段名称或名称-值对。如果您附加多个结果，系统会使用 OR 运算符将每个结果添加到搜索字段中现有查询的末尾。

   附加的查询字符串因 UDM 查询返回的匹配类型而异。

   • 如果结果与 UDM 字段名称中的文本字符串匹配，系统会将完整的 UDM 字段名称附加到查询中。例如：

     principal.artifact.network.dhcp.client_hostname

   • 如果结果与值开头或结尾的文字字符串匹配，则名称-值对包含 UDM 字段名称和结果中的完整值。示例如下：

     • metadata.log_type = "PCAP_DNS"

     • network.dns.answers.name = "dns-A901F3j.hat.example.com"

   • 如果结果包含文本“可能的值匹配”，则名称-值对包含 UDM 字段名称和包含搜索字词的正则表达式。例如：

     principal.process.file.full_path = /google/ NOCASE

6. UDM 查询生成的查询字符串可用作搜索查询的起点。在搜索页面上修改搜索查询，以适应您的用例。

UDM 查询行为摘要

本部分详细介绍了 UDM 查找功能。

• UDM 查询可搜索 2023 年 8 月 10 日之后提取的数据。系统不会搜索在此之前提取的数据。它会返回在未经丰富的 UDM 字段中找到的结果。不会返回与经过丰富的字段的匹配项。如需了解经过丰富的字段与未经过丰富的字段的区别，请参阅在事件查看器中查看事件。
• 使用 UDM 查询进行的搜索不区分大小写。术语 hostname 会返回与 HostName 相同的结果。
• 搜索值时，系统会忽略查询文本字符串中的连字符 (-) 和下划线 (_)。文本字符串 dns-l 和 dnsl 都会返回值 dns-l。

• 搜索值时，在以下情况下，UDM 查询不会返回匹配项：

  在以下 UDM 字段中匹配：	metadata.product_log_id network.session_id security_result.rule_id network.parent_session_id
  在 UDM 字段中匹配完整路径以以下值之一结尾的情况：	.pid 例如 target.process.pid。 .asset_id 例如 principal.asset_id。 .product_specific_process_id 例如 principal.process.product_specific_process_id。 .resource.id 例如 principal.resource.id。

  
  

• 搜索值时，在以下情况下，UDM 查询会在找到匹配项时显示可能的值匹配：

  在以下 UDM 字段中匹配：	metadata.description security_result.description security_result.detection_fields.value security_result.summary network.http.user_agent
  在字段中匹配以以下值之一结尾的完整路径：	.command_line 例如 principal.process.command_line。 .file.full_path 例如 principal.process.file.full_path。 .labels.value 例如 src.labels.value。 .registry.registry_key 例如 principal.registry.registry_key。 .url 例如 principal.url。
  在字段中匹配以以下值开头的完整路径：	additional.fields.value. 例如 additional.fields.value.null_value。

在搜索结果中查看提醒

如需查看提醒，请点击搜索页面右上角的事件标签页旁边的提醒标签页。

提醒的显示方式

Google SecOps 会根据客户环境中存在的提醒事件来评估搜索中返回的事件。当搜索查询事件与提醒中存在的事件匹配时，该事件会显示在提醒时间轴和随之生成的提醒表格中。

事件和提醒的定义

事件是从提取到 Google SecOps 并由 Google SecOps 的提取和标准化流程处理的原始日志来源生成的。单个原始日志来源记录可以生成多个事件。事件表示从该原始日志生成的一组与安全相关的数据点。

在搜索中，提醒是指启用了提醒功能的 YARA-L 规则检测。如需了解详情，请参阅针对实时数据运行规则。

其他数据源可以作为提醒（例如 Crowdstrike Falcon 提醒）注入到 Google SecOps。除非这些提醒由 Google SecOps 检测引擎作为 YARA-L 规则进行处理，否则不会显示在搜索结果中。

与一个或多个提醒关联的事件会在事件时间轴中标记为提醒条状标签。如果时间轴与多条提醒相关联，条状标签会显示相关提醒的数量。

时间轴会显示从搜索结果中检索到的最新 1,000 条提醒。达到 1,000 个上限后，系统将不会再检索提醒。为确保您看到与搜索内容相关的所有结果，请使用过滤条件优化搜索。

如何调查提醒

如需了解如何使用提醒图表和提醒详情来调查提醒，请按照调查提醒中所述的步骤操作。

在搜索中使用参考列表

在“规则”中应用参考列表的流程也可用于搜索。单个搜索查询中最多可以包含 7 个列表。支持所有类型的参考列表（字符串、正则表达式、CIDR）。

您可以创建要跟踪的任何变量的列表。

例如，您可以创建一个可疑 IP 地址列表：

// Field value exists in reference list
principal.ip IN %suspicious_ips

您可以使用 AND 或 OR 使用多个列表：

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

优化搜索结果

您可以使用搜索页面功能过滤和优化结果，而不必修改并重新运行搜索。例如：

• 时间轴图表
• “汇总”窗口

时间表图

时间轴图表以图形方式显示当前搜索显示的每天发生的事件和提醒的数量。事件和提醒会显示在同一时间轴图表中，该图表可在事件和提醒标签页中找到。

每个条柱的宽度取决于搜索的时间间隔。例如，如果搜索涵盖 24 小时的数据，则每个条柱代表 10 分钟。当您修改现有搜索时，此图表会动态更新。

时间范围调整

您可以通过向左或向右移动白色滑块控件来调整图表的时间范围，从而重点关注感兴趣的时间段。当您调整时间范围时，UDM 字段和值表格以及事件表格会更新以反映当前的选择。您还可以点击图表上的单个条柱，以仅列出相应时间段内的事件。

调整时间范围后，系统会显示已滤除的事件和查询事件复选框，以便您进一步限制显示的事件类型。

图 4. 包含时间范围控件的事件时间轴图表。

“汇总”窗口

Aggregations（汇总）窗口会显示 UDM 搜索生成的分组字段和 UDM 字段。分组字段用于跨类型相似的多个 UDM 字段进行搜索。

分组字段（例如 ip、namespace 或 user）是一个占位符变量，用于对类似 UDM 字段的值进行分组。例如，namespace 分组字段会对以下 UDM 字段中的所有值进行分组：principal.namespace、src.namespace 和 target.namespace。

系统会为每个分组字段和 UDM 字段显示事件数。“事件数”是具有该字段相同值的事件记录的数量。

分组字段和 UDM 字段会按 事件数从高到低排序，如果 事件数相同，则按字母顺序排序。

如需将某个字段固定在汇总列表的顶部，请点击该字段的保留 保留图标。

图 5. 汇总有助于识别高频率值。

您可以使用汇总进一步缩小 UDM 搜索范围。您可以滚动浏览 UDM 字段列表，也可以使用搜索字段搜索特定 UDM 字段或值。

过滤汇总字段

使用过滤条件选项缩小汇总列表中显示的 UDM 字段列表，如下所示：

Figure 6. 包含所选 UDM 字段值的事件示例。

1. 在汇总列表中选择一个 UDM 字段，以显示该字段的值列表。

2. 从该列表中选择一个值，然后点击 more_vert 更多菜单图标。

3. 选择一个过滤选项：

   • 仅显示：仅显示包含所选 UDM 字段值的事件。
   • 滤除：滤除包含所选 UDM 字段值的事件。
   • 复制：将 UDM 字段值复制到剪贴板。

您可以将这些额外的 UDM 过滤条件添加到过滤事件字段。

“过滤事件”字段

过滤事件字段会显示您创建的过滤条件，并允许您将其应用于搜索字段，或根据需要移除过滤条件。

点击应用并运行后，系统会根据显示的其他过滤条件过滤显示的事件，并更新搜索字段。系统会使用相同的日期和时间参数自动重新运行搜索。

图 7.过滤事件字段。

如果您点击添加过滤条件，系统会打开一个窗口，供您选择其他 UDM 字段。

图 8.过滤事件窗口。

在“Events”表格中查看事件

所有过滤条件和控件都会影响“事件”表格中显示的事件列表。点击任何事件可打开日志查看器，在其中您可以查看原始日志和相应的 UDM 记录。点击相应事件的 timestamp 后，您可以前往关联的素材资源、IP 地址、网域、哈希或用户视图。您还可以使用搜索字段查找特定事件。

在“提醒”表中查看提醒

您可以点击提醒标签页查看提醒。您可以使用汇总按以下条件对提醒进行排序：

• 支持请求
• 名称
• 优先级
• 严重程度
• 状态
• 判定

这有助于您专注于对您最重要的提醒。

提醒会在事件标签页中显示事件所处的时间范围内。这有助于您了解事件与提醒之间的关联。

如需详细了解特定提醒，请点击相应提醒。系统随即会打开相应的提醒详情页面，其中包含有关该提醒的详细信息。

在事件查看器中查看事件

如需打开事件查看器，请将光标悬停在事件表格中的某个事件上，然后点击 switch_access_2 打开事件查看器。

事件查看器包含以下标签页：UDM 字段、原始日志、提醒和实体：

• UDM 字段标签页：

  UDM 字段标签页会显示 UDM 记录中的 UDM 字段结构化列表。

  • 将指针悬停在任意 UDM 字段上即可查看其定义。
  • 选中某个字段的复选框即可对多个字段执行操作。

  • 请执行以下操作：

    • 过滤条件：将以下过滤条件应用于 UDM 字段列表：

      • 显示未扩展的字段
      • 显示已扩展的字段
      • 显示其他字段
      • 显示已提取的字段

    • Add to Columns（添加到列）：将 UDM 字段添加为列。

    • 复制：将所选 UDM 字段和 UDM 值复制到系统剪贴板。

  每个 UDM 字段都带有一个图标，用于指明该字段包含经过丰富的数据还是未经过丰富的数据。图标标签如下：

  • U：未经丰富的字段包含在归一化过程中使用原始原始日志中的数据填充的值。

  • E：经过丰富的字段包含 Google SecOps 填充的值，用于提供有关客户环境中工件的更多背景信息。如需了解详情，请参阅 Google SecOps 如何丰富事件和实体数据。

    

    图 9： 事件查看器中的 UDM 字段。

• 原始日志标签页

  原始日志标签页会以以下任一格式显示原始日志：

  • 原始
  • JSON
  • XML
  • CSV
  • 十六进制/ASCII

使用“列”选项进行搜索

您可以使用列选项自定义事件表格中显示的列。系统会显示列菜单，并根据搜索返回的事件类型提供不同的选项。

保存一组列

您可以选择点击保存，保存您在此处选择的一组列。为所选列组合命名，然后再次点击保存。您可以点击加载，然后从列表中选择一组已保存的列，以加载该组列。

如需下载显示的活动，请点击 more_vert更多，然后选择下载为 CSV 文件。 这将下载所有搜索结果（最多 100 万个事件）。控制台会指明系统将下载多少个事件。

图 10. 搜索列。

使用数据透视表分析事件

借助数据透视表，您可以使用表达式和函数对搜索结果进行分析。

如需打开和配置数据透视表，请完成以下步骤：

1. 执行搜索。

2. 点击数据透视标签页以打开数据透视表。

3. 指定分组依据值，以便按特定 UDM 字段对事件进行分组。您可以使用默认的大小写方式显示结果，也可以从菜单中选择小写，以便仅使用小写方式显示结果。此选项仅适用于字符串字段。您可以点击添加字段，最多指定 5 个按值进行分组。

   如果您的按值是主机名字段之一，您将有其他转换选项：

   • N 级顶级域名：选择要显示的域名级别。 例如，使用值 1 只会显示顶级域名（例如 com、gov 或 edu）。使用值 3 会显示域名的下两个级别（例如 google.co.uk）。
   • 获取已注册的域名：仅显示已注册的域名（例如 google.com、nytimes.com 和 youtube.com）。

   如果您的按值是 IP 字段之一，则可以使用其他转换选项：

   • (IP) CIDR 前缀长度（以位为单位）：您可以为 IPv4 地址指定 1 到 32 之间的值。对于 IPv6 地址，您最多可以指定 128 个值。

   如果您的分组依据值包含时间戳，您将有更多转换选项：

   • （时间）分辨率（以毫秒为单位）
   • （时间）分辨率（以秒为单位）
   • （时间）分辨率
   • （时间）分辨率（以小时为单位）
   • （时间）解决期限（以天为单位）

4. 从结果中的“字段”列表中为数据透视表指定一个值。您最多可以指定 5 个值。指定字段后，您必须选择汇总选项。您可以按以下选项进行总结：

   • sum
   • 计数
   • count distinct
   • 平均
   • stddev
   • 分钟
   • 最大值

5. 指定 Event count 的值可返回为此特定搜索和数据透视表识别的事件数量。

   汇总选项并非普遍与按字段兼容。例如，sum、average、stddev、min 和 max 选项只能应用于数值字段。如果您尝试将不兼容的汇总选项与按字段相关联，则会收到错误消息。

6. 指定一个或多个 UDM 字段，然后使用排序依据选项选择一个或多个排序依据。

7. 一切就绪后，点击应用。结果会显示在数据透视表中。

8. 可选：如需下载数据透视表，请点击 more_vert更多，然后选择下载为 CSV 文件。如果您未选择轴心，则此选项处于停用状态。

已保存的搜索和搜索记录概览

点击搜索管理器可检索已保存的搜索记录和查看搜索记录。选择一个已保存的搜索即可查看更多信息，包括标题和说明。

已保存的搜索记录和搜索记录：

• 存储在您的 Google SecOps 账号中。

• 只有相应用户可以查看和访问，除非您使用分享搜索记录功能与贵组织共享搜索记录。

保存搜索

如需保存搜索，请执行以下操作：

1. 在搜索页面中，点击运行搜索旁边的 more_horiz更多，然后点击保存搜索以便日后使用此搜索。此时系统会打开 Search manager 对话框。我们建议您为已保存的搜索指定一个有意义的名称，并为您要搜索的内容添加纯文本说明。您还可以通过在搜索管理器对话框中依次点击 add 添加来创建新的搜索。您还可以在此处使用标准 UDM 编辑和完成工具。

2. 可选：使用与 YARA-L 中变量相同的格式，以 ${<variable name>} 格式指定占位符变量。如果您向搜索添加变量，则还必须添加提示，以帮助用户了解在运行搜索之前需要输入哪些必需信息。必须先为所有变量填充值，然后才能运行搜索。

   例如，您可以将 metadata.vendor_name = ${vendor_name} 添加到搜索中。对于 ${vendor_name}，您需要为日后使用该功能的用户添加提示，例如 Enter the name of the vendor for your search。以后，每当用户加载此搜索时，系统都会提示他们在运行搜索之前输入供应商名称。

3. 完成后，点击保存修改内容。

4. 如需查看已保存的搜索记录，请点击搜索管理器，然后点击已保存标签页。

检索已保存的搜索

如需检索和运行已保存的搜索，请执行以下操作：

1. 在搜索管理器对话框中，从左侧列表中选择一个已保存的搜索。这些已保存的搜索记录会保存到您的 Google SecOps 账号中。

2. 可选：点击 more_horiz更多，然后选择删除搜索记录即可删除搜索记录。您只能删除自己创建的搜索记录。

3. 您可以更改搜索的名称和说明。完成后，点击保存修改内容。

4. 点击加载搜索。搜索结果会加载到主搜索字段中。

5. 点击运行搜索可查看与此搜索相关联的事件。

从搜索记录中检索搜索内容

如需从搜索记录中检索并执行搜索，请执行以下操作：

1. 在搜索管理器中，点击历史记录。

2. 从搜索记录中选择一条搜索记录。您的搜索记录会保存到您的 Google SecOps 账号中。您可以点击 delete删除来删除搜索记录。

3. 点击加载搜索。搜索结果会加载到主搜索字段中。

4. 点击运行搜索，查看与此搜索关联的事件。

清除、停用或启用搜索记录

如需清除、停用或启用搜索记录，请执行以下操作：

1. 在搜索管理器中，点击历史记录标签页。

2. 点击 more_vert更多。

3. 选择清除历史记录以清除搜索记录。

4. 点击停用搜索记录以停用搜索记录。您可以选择：

   • 仅选择不保留：停用搜索记录。

   • 停用并清除：停用搜索记录并删除已保存的搜索记录。

5. 如果您之前停用了搜索记录，可以点击启用搜索记录重新启用。

6. 点击关闭以退出搜索管理器。

分享搜索

借助共享搜索功能，您可以与团队共享搜索内容。在已保存标签页中，您可以分享或删除搜索记录。您还可以点击搜索栏旁边的 filter_alt过滤，对搜索结果进行过滤，并按全部显示、Google SecOps 定义、由我创建或已共享对搜索结果进行排序。

您无法修改不属于自己的共享搜索。

1. 点击已保存。
2. 点击要分享的搜索记录。
3. 点击搜索结果右侧的 more_horiz更多。系统随即会显示一个包含用于分享搜索内容的选项的对话框。
4. 点击与您的组织共享。
5. 系统随即会显示一个对话框，其中指出分享的搜索内容会向贵组织中的人员显示。确定要分享吗？点击分享。

如果您希望搜索记录仅对您自己可见，请点击 more_horiz更多，然后点击停止分享。停止分享后，只有您可以使用此搜索。

可以或无法从平台下载为 CSV 格式的 UDM 字段

下一部分介绍了支持和不支持下载的 UDM 字段。

支持的字段

您可以将以下字段从平台下载为 CSV 文件：

• 用户

• 主机名

• 进程名称

• 事件类型

• 时间戳

• 原始日志（仅在为客户启用原始日志的情况下有效）

• 以“udm.additional”开头的所有字段

有效的字段类型

您可以将以下字段类型下载为 CSV 文件：

• 双精度

• 浮点数

• int32

• uint32

• int64

• uint64

• 布尔值

• 字符串

• 枚举

• 字节

• google.protobuf.Timestamp

• google.protobuf.Duration

不受支持的字段

以“udm”（而非 udm.additional）开头且满足以下任一条件的字段无法下载为 CSV 文件：

• udm proto 中的字段嵌套深度超过 10。

• 数据类型为“消息”或“群组”。

限制搜索结果的因素

进行 UDM 搜索时，以下因素可能会限制返回的结果数量：

• 结果总数超出 100 万：搜索结果上限为 100 万个事件。如果结果超过 100 万条，则只会显示 100 万条结果。

• 通过搜索设置在平台中将结果限制为小于 100 万：您可以将默认搜索结果集配置为返回少于 100 万个结果，从而提高查询速度。如果将其设为小于 100 万，您会看到的结果会更少。默认情况下，SecOps 搜索会将结果数量限制为 3 万条，但您可以使用结果页面上的搜索设置将此数量更改为最多 100 万条。

• 搜索结果上限为 1 万个：即使您的搜索返回了超过 1 万个结果，控制台也只会显示前 1 万个结果。控制台的此限制并不反映可能结果的总数。

后续步骤

如需了解如何在搜索中使用富含情境的数据，请参阅在搜索中使用富含情境的数据。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。