0

我试图找出 Microsoft Sentinel 中是否有一种方法可以在所有数据连接器和所有日志中执行搜索。这与 IBM QRadar 等提供的功能类似,可以在所有日志源中执行搜索,并以原始 syslog 形式对所有已保存日志进行有效负载概览。

我想在 Sentinel 中执行的 QRadar 中的 AQL 查询格式:

SELECT UTF8(payload) FROM events WHERE UTF8(payload) ILIKE 'search string' LAST 24 HOURS

这是一个非常有用的功能,尤其是在回溯分析日志和调试规则时。

谢谢你。

4

1 回答 1

0

您可以使用search运算符。 search运算符的效率大大低于特定于表和特定于列的文本过滤。

https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/searchoperator?pivots=azuremonitor

于 2022-02-07T20:56:36.823 回答