下载活动

您可以显示和下载与每次威胁检测相关联的大量事件。这样,您就可以在 Chronicle 账号中存储的大量数据中搜索,以寻找安全问题。

显示和下载事件

完成以下步骤以显示和下载与检测关联的事件:

  1. 在导航栏中,依次点击检测 > 规则和检测

  2. 点击规则信息中心标签页。

    规则信息中心 规则信息中心

  3. 点击规则以打开“规则检测”视图。

  4. 从“检测”列表中选择一项检测,然后点击左侧的箭头展开示例事件列表。规则中定义的每个事件变量的事件样本不得超过 10 个。超出此限制的事件样本将被忽略。 如果系统在检测时省略了事件示例,则会显示下载为 CSV 文件选项。最多可以下载 10 万个事件。 事件样本按界面中的事件时间戳进行排序。从 Chonicle API 读取检测结果时,Google 不保证任何种类的事件样本。

    使用示例事件进行检测 “使用示例事件进行检测”已展开和“下载全部”选项。

  5. (可选)您可以点击图标,并向示例事件列表添加其他信息列。此信息将包含在下载的 CSV 文件中。

    “列”选项 “列”选项

  6. 点击下载为 CSV 文件链接。事件示例将下载为 CSV 文件,然后您可以在大多数电子表格应用中打开该文件。

    事件示例 CSV 文件 事件示例 CSV 文件