原始数据

与用户属性事件源不同，原始数据被摄入产品中以上下文化其他数据。使用原始日志将增强这些特定功能:

• 日志搜索
• 仪表板和报告
• 自定义警报

原始数据用于日志搜索，并允许您查找特定的详细信息。虽然最好使用特定格式的事件日志，但InsightIDR最终将接受来自环境的任何基于文本的事件日志。

收集的数据

原始日志的数据可能包括以下部分或全部信息:

• 时间戳
• 主机名
• 事件代码
• 描述
• 包名
• 目标用户名
• 工作站
• 状态

进一步的建议

InsightIDR旨在简化整个环境中的搜索和分析。为了确保你可以在一个地方执行所有必要的调查步骤，你应该:

1. 传输安全日志和部署代理。
2. 传输用于搜索的任何其他潜在有用的数据，例如自定义应用程序日志。

此外，您还可以启用自动日志结构将日志从已知格式(如CEF和JSON)转换为人类可读的格式，允许您编写LEQL查询并轻松搜索日志。