Cette page a été traduite par l'API Cloud Translation.

Contrôler les colonnes à l'aide des mots clés "sélectionner" et "désélectionner"

Compatible avec :

Google SecOps SIEM

Dans "Rechercher et tableaux de bord", vous pouvez utiliser les mots clés select et unselect pour personnaliser les colonnes affichées dans le tableau Événements de l'onglet Résultats dans la recherche, ainsi que dans les tableaux des widgets de tableau de bord.

Les colonnes par défaut Code temporel et Événement sont toujours affichées. Les mots clés select et unselect permettent respectivement d'ajouter et de supprimer des colonnes à côté de la colonne Événement.

select : ajoute les colonnes spécifiées au tableau Événements.
unselect : supprime les colonnes spécifiées du tableau Events (Événements).

Ces mots clés ne modifient que l'affichage des événements.

Exemples d'utilisation

Les exemples de cette section illustrent la syntaxe courante pour utiliser les mots clés select et unselect dans les requêtes de recherche.

Par exemple, la requête suivante recherche les événements associés à alex-laptop et ajoute security_result.about.email en tant que colonne à la table Events : none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Exemple de plusieurs colonnes

Le tableau Événements inclut target.asset.hostname comme première colonne (après les colonnes Code temporel et Événement).

Par exemple, vous pouvez ajouter plusieurs colonnes :

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Exemple de variable de résultat

Vous pouvez utiliser une variable avec le mot clé select. L'exemple suivant déclare $seconds comme variable de résultat égale à la valeur du champ metadata.event_timestamp.seconds du modèle de données unifié (UDM). Vous pouvez ensuite le spécifier à l'aide du mot clé select. La valeur Seconds s'affiche alors dans l'une des colonnes.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Exemple d'agrégation et d'événement

Les sections select et unselect s'excluent mutuellement et permettent aux utilisateurs d'inclure ou d'exclure des variables de résultat, des variables de correspondance, des champs d'événement ou des champs d'entité.

Toutes les recherches UDM sont des recherches d'événements uniques ou des recherches agrégées (également appelées statistiques d'événements). Les recherches d'agrégats spécifient le mot clé match ou utilisent des fonctions d'agrégat dans le résultat (par exemple, sum ou count).

Recherche d'un événement unique

Cet exemple ajoute une colonne pour metadata.event_timestamp :

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

Recherche agrégée

Dans cet exemple, des colonnes représentant $hostname et $count_id sont ajoutées à la table Événements :

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.