此页面由 Cloud Translation API 翻译。

针对历史数据运行规则

当您创建并启用新规则后，该规则会开始搜索检测根据您的 Google Security Operations 账号实际收到的事件。通过追溯，您可以使用所选规则在现有数据中搜索检测， Google Security Operations，系统会在运行资源预计回溯运行时间存在差异。

如需开始 Retrohunt，请完成以下步骤：

转到“规则信息中心”。
点击规则的“规则选项”图标，然后选择 Yara-L Retrohunt。

YARA-L Retrohunt 选项
在 YARA-L Retrohunt 弹出式窗口中，选择搜索的开始时间和结束时间。默认值为一周。此窗口提供了可用的日期和时间范围。准备就绪后点击运行。

Yara-L Retrohunt 弹出式窗口
您可以通过“规则检测”视图来查看 Retrohunt 运行的进度。如果您取消正在进行的 Retrohunt，则仍可以查看其在运行时可用的检测结果。
如果您已完成多个 Retrohunt，则可以点击日期范围链接来查看过去的运行结果，如下图所示。每次运行的结果都会显示在“规则检测”视图的“时间轴”和“检测”图中。

Yara-L Retrohunt 运行
如果您在规则中使用参考列表，请进行回溯然后从该列表中删除项目后，将该规则应用到新版本，以查看新结果。Google Security Operations 不会从以下位置删除检测：因此刷新规则不会更新结果。