打开 Log Activity
顶部导航栏点击 Log Activity,进入日志查询界面。
界面布局
基本搜索
1. 快速搜索语法
# 精确匹配 IP
sourceip = 192.168.1.100
# 范围匹配
sourceip IN [192.168.1.1, 192.168.1.2, 192.168.1.3]
# 模糊匹配(contains)
username CONTAINS 'admin'
# 多条件组合(AND/OR)
sourceip = 192.168.1.100 AND destinationport = 443
# 排除条件
sourceip != 192.168.1.1
# 大于/小于
eventcount > 10
magnitude >= 7
2. 时间范围选择
| 时间范围 | 适用场景 |
|---|---|
| Last 5 Minutes | 实时监控、排查当前问题 |
| Last Hour | 近期事件排查 |
| Last 24 Hours | 日常安全审查 |
| Last 7 Days | 周度分析、趋势查看 |
| Custom Range | 精确调查特定时间段 |
| Real Time | SOC 值班实时监控 |
3. 右键菜单操作
常用过滤条件速查
| 过滤字段 | 示例 | 说明 |
|---|---|---|
sourceip | sourceip = 10.0.0.1 | 源 IP |
destinationip | destinationip = 10.0.0.2 | 目标 IP |
sourceport | sourceport = 443 | 源端口 |
destinationport | destinationport = 22 | 目标端口 |
LOGSOURCE | LOGSOURCE = [Windows Server] | 日志源名称 |
LOGSOURCETYPE | LOGSOURCETYPE = 'Microsoft Windows Security Event Log' | 日志源类型 |
QIDNAME(qid) | QIDNAME(qid) = 'Failed Login' | 事件名称 |
username | username = 'admin' | 用户名 |
severity | severity >= 5 | 严重性 |
magnitude | magnitude >= 7 | 综合严重度 |
category | category = 'Authentication' | 高阶类别 |
starttime | starttime > '2024-06-18 10:00:00' | 开始时间 |
视图切换
| 视图类型 | 用途 | 快捷键 |
|---|---|---|
| Standard | 标准表格视图 | 默认 |
| Grouping | 按字段分组聚合 | 点击分组按钮 |
| Chart | 图表视图 | 点击图表按钮 |
分组示例:
分组字段:sourceip
结果:每个源 IP 的事件数量统计
保存搜索
管理路径:Reports > Saved Searches
导出结果
操作路径:选中事件 > Actions > Export
格式选项:
- CSV(适合 Excel 分析)
- XML
- JSON(适合脚本处理)
- PCAP(仅 Network Activity)
实战场景:排查登录失败
具体搜索语句:
QIDNAME(qid) = 'Failed Login'
查看 Top 攻击源(AQL):
SELECT sourceip, username, COUNT(*)
FROM events
WHERE QIDNAME(qid) = 'Failed Login'
GROUP BY sourceip, username
ORDER BY COUNT(*) DESC
LAST 24 HOURS实战场景:查找特定用户活动
搜索条件:
username = 'zhangsan' AND starttime > '2024-06-18 09:00:00'
查看该用户:
1. 登录了哪些系统
2. 执行了哪些操作
3. 是否有异常时间登录
小练习
-
基础搜索:搜索过去 24 小时内所有登录失败事件
QIDNAME(qid) = 'Failed Login' 时间范围:Last 24 Hours -
分组统计:按 Source IP 分组查看哪个 IP 产生最多事件
点击分组按钮 > 选择 sourceip -
保存搜索:保存一个常用搜索并添加到 Dashboard
Save Search > 命名为 "Daily_Failed_Logins" 勾选 "Add to Dashboard" -
时间线分析:使用 Custom Range 查看特定时间段的事件
时间选择器 > Custom > 设置开始和结束时间
配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf第 4 章 - 📄
06-cheatsheets/aql-cheatsheet.md
上一章:04 - 核心概念速通 下一章:06 - 攻击(Offense)基础