Spalten mit Auswahl- und Abwahl-Keywords steuern

Unterstützt in:

In Search und Dashboards können Sie die Keywords select und unselect verwenden, um die Spalten anzupassen, die in der Tabelle Ereignisse auf dem Tab Ergebnisse in Search und in den Tabellen in Dashboard-Widgets angezeigt werden.

Die Standardspalten sind Zeitstempel und Ereignis und werden immer angezeigt. Mit den Keywords select und unselect werden Spalten neben der Spalte Event hinzugefügt bzw. entfernt.

  • select: Fügt der Tabelle Ereignisse die angegebenen Spalten hinzu.
  • unselect: Entfernt die angegebenen Spalten aus der Tabelle Events.

Diese Keywords ändern nur die Darstellung von Ereignissen.

Beispiele für die Verwendung

Die Beispiele in diesem Abschnitt zeigen die gängige Syntax für die Verwendung der Keywords select und unselect in Suchanfragen.

Mit der folgenden Abfrage wird beispielsweise nach Ereignissen gesucht, die mit alex-laptop verknüpft sind, und security_result.about.email wird als Spalte der Tabelle Events hinzugefügt: none principal.hostname = "alex-laptop" limit: 10 select: security_result.about.email

Beispiel für mehrere Spalten

Die Tabelle Ereignisse enthält target.asset.hostname als erste Spalte (nach den Spalten Zeitstempel und Ereignis).

Sie können beispielsweise mehrere Spalten hinzufügen:

principal.hostname = "alex-laptop"
limit: 10
select: network.sent_bytes, security_result.about.email

Beispiel für eine Ergebnisvariable

Sie können eine Variable mit dem Schlüsselwort select verwenden. Im folgenden Beispiel wird $seconds als Ergebnisvariable deklariert, die dem Feldwert metadata.event_timestamp.seconds des einheitlichen Datenmodells (Unified Data Model, UDM) entspricht. Sie können sie dann mit dem Keyword select angeben. Der Seconds-Wert wird als eine der Spalten angezeigt.

principal.hostname = "alex-laptop"
outcome:
  $seconds = metadata.event_timestamp.seconds
limit: 10
select: $seconds, security_result.about.email

Beispiel für Aggregation und Ereignisse

Die Abschnitte select und unselect schließen sich gegenseitig aus. Nutzer können damit Ergebnisvariablen, Abgleichsvariablen, Ereignisfelder oder Einheitenfelder ein- oder ausschließen.

Alle UDM-Suchanfragen sind entweder Suchanfragen für einzelne Ereignisse oder aggregierte Suchanfragen (auch als Ereignisstatistiken bezeichnet). Bei aggregierten Suchanfragen wird das Keyword match angegeben oder es werden Aggregatfunktionen in der Ausgabe verwendet (z. B. sum oder count).

In diesem Beispiel wird eine Spalte für metadata.event_timestamp hinzugefügt:

events:
  principal.hostname = "alex-laptop"
  metadata.event_type = "NETWORK_CONNECTION"
select:
  metadata.event_timestamp

In diesem Beispiel werden der Tabelle Ereignisse Spalten für $hostname und $count_id hinzugefügt:

events:
    $e.metadata.event_type != "RESOURCE_CREATION"
    $e.principal.hostname = $hostname
    $id = $e.network.session_id
match:
    $hostname over 1h
outcome:
    $count_hostname = count($hostname)
    $count_id = count($id)
unselect:
    $count_hostname

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten