Se usó la API de Cloud Translation para traducir esta página.

Cómo controlar las columnas con la selección y anulación de palabras clave

Compatible con:

Google SecOps SIEM

En Search y Dashboards, puedes usar las palabras clave select y unselect para personalizar las columnas que se muestran en la tabla Eventos de la pestaña Resultados en Search, y las tablas dentro de los widgets del panel.

Las columnas predeterminadas son Marca de tiempo y Evento, y siempre se muestran. Las palabras clave select y unselect agregan y quitan columnas, respectivamente, junto a la columna Evento.

select: Agrega las columnas especificadas a la tabla Events.
unselect: Quita las columnas especificadas de la tabla Events.

Estas palabras clave solo modifican la forma en que se muestran los eventos.

Ejemplos de uso

En los ejemplos de esta sección, se muestra la sintaxis común para usar las palabras clave select y unselect en las búsquedas.

Por ejemplo, la siguiente consulta busca eventos vinculados a alex-laptop y agrega security_result.about.email como una columna a la tabla Events: none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Ejemplo de varias columnas

La tabla Events incluye target.asset.hostname como la primera columna (después de las columnas Timestamp y Event).

Por ejemplo, puedes agregar varias columnas:

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Ejemplo de variable de resultado

Puedes usar una variable con la palabra clave select. En el siguiente ejemplo, se declara $seconds como una variable de resultado igual al valor del campo metadata.event_timestamp.seconds del modelo de datos unificado (UDM). Luego, puedes especificarlo con la palabra clave select, y el valor de Seconds se mostrará como una de las columnas.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Ejemplo de agregación y evento

Las secciones select y unselect son mutuamente exclusivas y permiten a los usuarios incluir o excluir variables de resultado, variables de coincidencia, campos de eventos o campos de entidades.

Todas las búsquedas de UDM son búsquedas de un solo evento o búsquedas agregadas (también conocidas como estadísticas de eventos). Las búsquedas agregadas especifican la palabra clave match o usan funciones de agregación en el resultado (por ejemplo, sum o count).

Búsqueda de un solo evento

En este ejemplo, se agrega una columna para metadata.event_timestamp:

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

Búsqueda agregada

En este ejemplo, se agregan columnas que representan $hostname y $count_id a la tabla Events:

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.