查询FIM事件日志

在你之后打开文件完整性监控(FIM)在Insightidr和配置Windows计算机对于文件审核，您的资产将将日志数据发送到InsightIdr。然后将这些文件事件提供给您文件修改活动日志搜索中的日志设置，允许您充分利用文件完整性监控（FIM）功能。

例如，FIM可以帮助你:

根据您的需要，使用以下查询之一创建日志搜索查询，以帮助您监控您的环境:

阅读建立查询或查看其他示例查询帮助您创建自定义查询。

每个资产的FIM事件

这个日志搜索查询显示了发生在Windows资产上的所有FIM事件，结果按资产分组。查询是：哪里（Asset_os_Family = Windows）GroupBy（资产）

此日志搜索查询显示Windows资产上发生的所有FIIM事件，其中包含文件名分组的结果。查询是：(asset_os_family = windows) groupby (file_name)限制(100)

这个日志搜索查询显示了Windows资产上发生的所有FIM事件，结果按文件事件类型分组。查询是：(asset_os_family = windows) groupby (file_event)

此日志搜索查询显示仅修改单个文件的用户。查询是：其中（asset_os_family = windows和file_name = ）groupby（用户）

此日志搜索查询显示单个文件的每日事件量。查询是：其中（asset_os_family = windows和file_name = ）计算（计数）timelice（1440米）

此日志搜索查询显示单个Windows资产上发生的所有进程。查询是：其中（Asset_os_Family = Windows和Asset = ）GroupBy（进程）

配置文件完整性监控(FIM)与配置不同文件访问活动监控(FAAM)。虽然FAAM使用本地Microsoft审计工具有一个类似的配置过程，但这是它们唯一的相似之处。

这个页面对你有帮助吗?