Bu makalede daha verimli bir arama yapabilmek ve daha net sonuçlara ulaşabilmeniz için birkaç önerimiz yer almaktadır.
NOT: Eğer arama bölümündeki tüm kuralları merak ederseniz Arama İçin Genel Kurallar isimli makaleyi de ziyaret edebilirsiniz.
1- Search menüsüne geldiğimizde, çıkan sonuçların üzerine tıkladığımız zaman logların ne şekilde ayrıştırıldığını ve bu ayrıştırmada kolon isimlerini ve karşısındaki değerlerini göreceksiniz.
Örneğin Source.IP:192.168.104.109 adresi Destination.IP:192.168.3.201 adresi gibi.
Ayrıştırılan bu değerlere tıklayarak otomatik bir sorgunun oluştuğunu search alanından görebilirsiniz:
2- Arama yaparken genelde üreticiler cihazların ürettiği her mesaja bir isim veya mesaj ID numarası verirler. Örneğin, firewall cihazınız eğer Sonicwall ise "Web Erişim Logları" için Event.Info:"Web Site Access" yada Event.VendorID:"97" yazarak sadece bu sorgulara ait logları görebilirsiniz.
NOT: Bu mesaj alanlarına Logsign'ın getirdiği akılcı düzenlemeyi öğrenmek isterseniz Logsign Kolon Mimarisini Anlamak isimli makalemizi inceleyebilirsiniz.
3- Logsign'ın Elasticsearch ile çalışan NO SQL yapısı, search alanında ve raporların içerisinde arama yaparken LUCENE arama dilini kullanır.Bunun sonucunda da arama sonuçlarının ne kadar hızlı geldiğini zaten farketmişsinizdir.
Yorumlar