Halaman ini diterjemahkan oleh Cloud Translation API.

Mengontrol kolom menggunakan kata kunci pilih dan batalkan pilihan

Didukung di:

Google SecOps SIEM

Di Penelusuran dan Dasbor, Anda dapat menggunakan kata kunci select dan unselect untuk menyesuaikan kolom yang ditampilkan di tabel Peristiwa pada tab Hasil di Penelusuran, dan tabel dalam widget dasbor.

Kolom defaultnya adalah Stempel waktu dan Peristiwa dan selalu ditampilkan. Kata kunci select dan unselect masing-masing menambahkan dan menghapus kolom di samping kolom Acara.

select: menambahkan kolom yang ditentukan ke tabel Peristiwa
unselect: menghapus kolom yang ditentukan dari tabel Peristiwa

Kata kunci ini hanya mengubah cara peristiwa ditampilkan.

Contoh penggunaan

Contoh di bagian ini menunjukkan sintaksis umum untuk menggunakan kata kunci select dan unselect dalam kueri Penelusuran.

Misalnya, kueri berikut menelusuri peristiwa yang terkait dengan alex-laptop dan menambahkan security_result.about.email sebagai kolom ke tabel Events: none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Contoh beberapa kolom

Tabel Peristiwa menyertakan target.asset.hostname sebagai kolom pertama (setelah kolom Stempel Waktu dan Peristiwa).

Misalnya, Anda dapat menambahkan beberapa kolom:

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Contoh variabel hasil

Anda dapat menggunakan variabel dengan kata kunci select. Contoh berikut mendeklarasikan $seconds sebagai variabel hasil yang sama dengan nilai kolom Model Data Terpadu (UDM) metadata.event_timestamp.seconds. Kemudian, Anda dapat menentukannya menggunakan kata kunci select dan nilai Seconds ditampilkan sebagai salah satu kolom.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Contoh agregasi dan peristiwa

Bagian select dan unselect bersifat eksklusif dan memungkinkan pengguna menyertakan atau mengecualikan variabel hasil, variabel kecocokan, kolom peristiwa, atau kolom entitas.

Semua penelusuran UDM adalah penelusuran peristiwa tunggal atau penelusuran gabungan (juga dikenal sebagai statistik peristiwa). Penelusuran gabungan menentukan kata kunci match atau menggunakan fungsi gabungan dalam output (misalnya, sum atau count).

Penelusuran acara tunggal

Contoh ini menambahkan kolom untuk metadata.event_timestamp:

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

Penelusuran gabungan

Dalam contoh ini, kolom yang merepresentasikan $hostname dan $count_id ditambahkan ke tabel Events:

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.