利用 OMS 搜尋紀錄過濾更多數據

搜尋多種情況

您會想要知道一件事或多件事件的發生，也就是可以利用 OR 的搜尋。在 OMS 紀錄搜尋工具中，您只要在搜尋指令中加入 OR 即可。

在以下範例中，會以搜尋被加入安全性分組的帳戶為例，因此可能會需要搜尋 EventID 4728、EventID 4732、或 event EventID 4756。首先需要先過濾搜尋 SecurityEvent 的資料種類，接著再過濾事件 ID，如以下指令：

Type=SecurityEvent  EventID=4732

可以看到回傳了6個安全性事件，執行結果如下圖：

接著，利用 OR 加入其他可能發生的安全性事件。這非常容易，只需要在搜尋時加入 OR 和 EventID=  即可。範例搜尋如下：

Type=SecurityEvent  EventID=4728 OR EventID=4732 OR EventID=4756

分組與計算

若要將事件依據特定屬性分組，需要先知道哪些屬性是可用的。您可以從一個單一的事件結果查看，例如：

根據結果中所看到的資訊，您可能會想知道誰被增加了。您可以利用 Measure 來依照 SubjectAccount 屬性計數。關鍵字 Measure 會接在搜尋完安全性事件後，並用 " ｜ " 符號隔開。此範例指定 Count 為測量的種類，並計算 SubjectAccount 屬性：

Type=SecurityEvent  EventID=4728 OR EventID=4732 OR EventID=4756 | Measure Count() by SubjectAccount

您也可能會想知道是否有特定分組是被所有額外的事件視為目標的。您可以將搜尋中的屬性改為 TargetAccount：

Type=SecurityEvent  EventID=4728 OR EventID=4732 OR EventID=4756 | Measure Count() by TargetAccount