跳至主内容

搜索配置

安全数据湖 允许您自定义搜索查询选项,例如限制可选时间范围或配置显示的相对时间范围列表。

所有搜索配置设置均可通过 系统 > 配置 页面中的 搜索 部分进行自定义。

查询时间范围限制

有时存储的数据量 安全数据湖 存储的数据量可能非常庞大且时间跨度广泛(例如多年)。为防止意外执行可能消耗过多资源的搜索查询,您可以限制搜索查询的时间范围。

启用此功能后,超出配置查询时间范围限制的搜索查询将自动调整为指定的限制范围。

Query Time Range.png

查询时间范围限制采用 持续时间 格式,遵循ISO 8601基本格式 P<日期>T<时间> 并遵守以下规则:

标识符

描述

P

持续时间标识符(表示周期)置于持续时间表示的开头

Y

年份标识符,跟随年数值

M

月份标识符,跟随月数值

W

周数标识符,跟随周数值

D

天数标识符,跟随天数值

T

时间标识符,置于时间组成部分之前

H

小时标识符,跟随小时数值

M

分钟标识符,跟随分钟数值

S

秒数标识符,跟随秒数值

示例:

ISO 8601持续时间

描述

P30D

30天

PT1H

1小时

P1DT12H

1天12小时

关于ISO 8601时长格式的更多详细信息可查阅 此处 .

时间范围预设

相对时间范围选择器 中显示的时间范围列表也可配置,它由一系列可在搜索页面选择的ISO 8601时长组成。

Time Range Presets.png

启用/禁用搜索结果高亮

使用搜索结果高亮会略微增加搜索的资源消耗。您可以通过 graylog.conf 配置文件中的参数来启用或禁用该功能,该文件位于 安全数据湖 节点上: 

allow_highlighting = true

查看查询字符串历史

安全数据湖 允许您检索近期查询字符串历史,以保留您在其他事件回放和仪表板中使用过的查询。搜索栏支持自动补全,并会显示您过去输入过的相关搜索查询。点击这些查询将替换当前查询字符串。

查询历史按钮位于搜索栏末端,灯泡图标右侧。所有查询均保存至数据库,您可通过点击 搜索历史 按钮后出现的下拉菜单检索过往查询。历史查询按时间降序排列,从最新到最旧。

search query string history 6.0.png

提示

快捷键 alt+空格 可显示查询输入建议。当输入为空时,将显示查询历史建议。若已有输入内容,请使用 alt+ctrl+h .

查询字符串历史功能支持筛选过往搜索记录并复用。该功能同样适用于仪表盘和小部件。查询记录按用户隔离,他人不可见,但可在不同仪表盘间共享。详见 已保存搜索 获取更多信息。

时间范围选择器

时间范围选择器支持从 安全数据湖 提取特定时段数据,分析影响环境的问题。该工具最重要的功能是提供多种时间范围筛选方式,位于 搜索 页面左上角。

该工具可帮助构建实现以下功能的查询:

  • 识别并响应数据泄露、流程故障及其他安全事件

  • 排查系统与网络故障

  • 分析用户行为特征

  • 开展取证调查

时间范围选项

点击时钟图标打开窗口,对话框提供以下范围类型:

  • 相对时间

  • 绝对时间

  • 关键词时间

相对时间范围选择器

相对时间 选择器支持搜索相对于 当前时间 或您选择的其他日期。该选择器提供多种相对时间范围,满足大部分搜索需求,包括一个 全部时间 选项。

Relative.png

了解该筛选器的工作原理:

  • 起始 字段中,您可以通过下拉菜单输入数值并选择时间单位(秒、分、时、日)。为方便使用,可点击 预设时间 按钮获取以分钟/小时/天为单位的预设值。若选择 所有消息 仪表盘将显示从首次数据摄入日期起的信息。

  • 截止 日期允许相对时间范围在特定时段结束(而非默认当前时间/日期)。

绝对时间范围选择器

当您明确知晓搜索边界时,可使用绝对时间范围选择器。该选项提供折叠面板包含两个选择:

  • 日历

  • 时间戳

在日历选项中,沙漏图标可快速跳转至当天起始(00:00:00.000)或结束(23:59:59.99)。

深入了解日历功能需注意 截止 起始 :

  • 截止 日期默认禁用所选 起始 日期之前的所有日期。

  • 若配置了 起始日期,系统将禁用该日期之前所有日期 查询时间范围限制 (位于 系统 > 配置 页面)。

absolute.png

您可以使用 魔法棒图标 来设置日历和时间戳。

  • 日历 模式下,该图标会将 时间 更新为当前时间,但不会修改日历中的日期。

  • 时间戳 模式下,该图标会将整个 时间戳 更新为当前日期和时间。

关键词时间范围选择器

安全数据湖 提供关键词时间范围选择功能,允许您用自然语言指定搜索时间范围,例如 过去一小时 过去90天 。网页界面会显示将用于搜索的两个实际时间戳的预览。

keyword.png

以下是几个可能值的示例:

  • “上个月”会搜索从上个月第一天到当前月最后一天的数据

  • “4小时前”会搜索从四小时前到现在的数据

  • “4月1日至2天前”会搜索从4月1日到2天前的数据

  • “昨天午夜+0200至今天午夜+0200”会搜索+0200时区下从昨天午夜到今天午夜的数据

  • (对应UTC时间为22:00)

时间范围是使用 natty自然语言解析器 进行解析的。详情请参阅其文档。

注意

Natty 4.2+版本说明:从4.2版本开始,已修复natty的部分错误/异常问题。当natty干扰查询字符串中的时间部分(例如“上周一”)时,它会使用参考时间。这会导致生成的时间戳位于一天中的中午时段,这既不符合直觉也非预期行为。因此,从现在起,当natty干扰查询中的时间部分时,该时间部分将自动对齐至当天的起始和结束时刻。

添加自定义时间范围预设

您可以自定义关键词时间范围并将其添加到现有选项中。具体有两种实现方式。

通过时间范围选择器菜单

  1. 时间范围选择器 菜单中,为预设类型选择 相对 , 绝对 关键词 选项。

  2. 输入所需配置后点击 更新时间范围 .

通过配置菜单

  1. 在配置界面中,点击 配置预设 (位于 时间范围选择器 下拉菜单底部)。或者,您也可以前往 系统 > 配置 并选择 编辑配置 .

  2. 点击 添加选项 搜索时间范围预设 列表底部。输入描述并点击 更新配置 .

  3. 如需添加更多时间范围,点击 添加选项 并编辑新时间范围,随后点击 更新配置 .

管理自定义时间范围预设

您可按优先级重新排列列表条目:选中行首的圆点并上下拖动。

Edit Custom Presets.png

也可通过 时间范围选择器 下拉菜单访问自定义预设,其中将显示您定制时输入的描述。

常用时间范围可保存并添加到 搜索时间范围预设 列表。操作方式:点击菜单右上角的 另存为预设 按钮,输入描述后点击 保存预设 。若输入已存在的时间范围将收到提示。在时间范围选择器中点击 加载预设 即可调用已保存预设。

本节内容 :