针对历史数据运行规则

创建和启用新规则后，规则会开始根据您的 Chronicle 账号接收的事件实时搜索检测。借助追溯功能，您可以使用所选规则在 Chhronicle 中的现有数据中搜索检测。系统会在有可用资源可运行时安排 RetroHunt。回滚运行时间预计会有所不同。

如需开始 Retrohunt，请完成以下步骤：

转到“规则信息中心”。
点击规则的“规则选项”图标，然后选择 Yara-L Retrohunt。

YARA-L Retrohunt 选项
在 YARA-L Retrohunt 弹出式窗口中，选择搜索的开始时间和结束时间。默认值为一周。此窗口提供了可用的日期和时间范围。准备就绪后点击运行。

Yara-L Retrohunt 弹出式窗口
您可以通过“规则检测”视图来查看 Retrohunt 运行的进度。如果您取消正在进行的 Retrohunt，则仍可以查看其在运行时可用的检测结果。
如果您已完成多个 Retrohunt，则可以点击日期范围链接来查看过去的运行结果，如下图所示。每次运行的结果都会显示在“规则检测”视图的“时间轴”和“检测”图中。

Yara-L Retrohunt 运行
如果您在规则中使用引用列表，运行回溯，然后从该列表中移除项，则需要将该规则修改为新版本以查看新结果。Chronicle 不会从参考列表中删除检测，因此刷新规则不会更新结果。