При настройке поиска в инструменте расследования вы можете включить в него одно или несколько условий. Если вы настраиваете поиск, содержащий не менее двух условий, у вас также есть возможность создавать вложенные запросы — другими словами, поиски, включающие 2 или 3 уровня условий.
Использование вложенных запросов позволяет сузить область поиска, указав более детальные запросы, ориентированные на конкретные типы событий. Для этого нажмите кнопку.
Добавьте группу условий при настройке поиска.
Например, вы можете выполнить поиск входящих писем в вашей организации, чтобы выяснить, какие пользователи получают вложения. Кроме того, вы можете сузить область поиска, включив в него только тех пользователей, которые открывают эти вложения или переходят по ссылкам в письмах. При настройке поиска вы будете использовать данные из журнала событий Gmail и зададите следующие условия:
- В электронном письме обязательно должен быть прикреплен файл.
- И пользователь должен либо открыть вложение, либо перейти по ссылке в электронном письме.
Примечание: Большинство источников данных позволяют выполнять запросы с вложенностью в 3 уровня. Источник данных «Пользователи» позволяет выполнять только запросы с вложенностью в 2 уровня, в то время как источник данных «Браузеры Chrome» не поддерживает такие запросы.