# Data Lake Der Data Lake dient als zentrale Datenquelle, die alle durch Kollektoren gesammelten Roh-Daten aus den verschiedensten Logs zusammenbringt, indexiert und gruppiert. *** Navigiere zu **SIEM** → **Data Lake**, um alle dem SIEM zugeführten Logs einzusehen. Die Data-Lake-Ansicht ist zweigeteilt. Auf der [linken Seite](#data-lake-logfelder-liste) findest du eine Auflistung aller Logs, deren Daten ins SIEM eingespeist werden, inklusive der vorhandenen Logfelder. Du kannst hier gezielt nach Feldern suchen und filtern. Auf der [rechten Seite](#data-lake-log-ubersicht) findest du die tatsächlichen Log-Einträge abhängig von deinem ausgewählten Zeitraum und den gesetzten Filtern. Des Weiteren hast du die Möglichkeit, die Data-Lake-Übersicht zu [exportieren](#liste-exportieren), Filter basierend auf [vorgefertigten Streams](#stream-offnen) zu setzen sowie manuell gesetzte Filter als [Streams zu speichern](#stream-speichern).

*** ## Navigation Klicke auf das **Aktualisieren**-Symbol oberhalb der Log-Liste, um alle angezeigten Log-Daten den gesetzten Filtern entsprechend zu aktualisieren. Scrolle in der Log-Liste nach unten oder passe die Ergebnisanzeige pro Seite ![](/files/lxYVvpODxve0HWSRb7Rc) an, um weitere Logs in der Liste zu sehen. Nutze die Seitennavigation ![](/files/g18zGgqwNNq5zYpAuXih), um zwischen mehreren Seiten zu wechseln. ### Start- und Endzeitpunkt festlegen Klicke auf **Startzeitpunkt** bzw. **Endzeitpunkt** in der rechten oberen Ecke, um einen Startzeitpunkt bzw. Endzeitpunkt für die Betrachtung zu definieren. Es öffnet sich die Datumsauswahl. {% tabs %} {% tab title="Relativer Zeitraum" %} Stelle manuell einen **relativen Zeitraum** ein. Du kannst auch einen relativen Zeitraum aus einer der **Vorlagen** auswählen.

Klicke in das Feld mit der standardmäßigen Einstellung **Tage zuvor**, um eine Liste aller verfügbaren Zeiträume auszuklappen. Wähle einen Zeitraum aus. Gib im Zahlenfeld die Anzahl der Sekunden, Minuten, Stunden, Tage oder Wochen ein, die du anzeigen möchtest. Standardmäßig ist hier der Wert **1** eingestellt. Bestätige deine Angaben mit Klick auf **Übernehmen**. {% endtab %} {% tab title="Absoluter Zeitraum" %} Wähle ein Datum aus der Kalenderansicht aus.

Klicke optional auf **Uhrzeit**, um mithilfe der Wählscheibe eine genaue Uhrzeit im 24-Stunden-Format festzulegen. Wähle zunächst eine Stunde aus. Die Wählscheibe springt daraufhin auf die Minutenanzeige. Wähle hier entsprechend die Minuten aus. Bestätige deine Angaben mit Klick auf **Übernehmen**. {% endtab %} {% endtabs %} Klicke auf **Zurücksetzen** in der rechten oberen Ecke, um die vorgenommenen Einstellungen für den betrachteten Zeitraum zurückzusetzen. ### Vollbild-Modus Klicke auf das **Vollbild**-Symbol rechts oberhalb der Log-Liste, um in den Vollbild-Modus zu wechseln. Ist dieser Modus aktiv, wird dir nur die rechte Seite der Data-Lake-Ansicht ohne die möglichen Filteroptionen angezeigt. Klicke erneut auf das **Vollbild**-Symbol oder drücke die **ESC**-Taste, um den Vollbild-Modus zu beenden. Klicke auf das **Aktualisieren**-Symbol um alle angezeigten Log-Daten den gesetzten Filtern entsprechend zu aktualisieren. ### Log-Tabelle anpassen Klicke auf das **Tabellen**-Symbol rechts oberhalb der Log-Liste, um ein neues Fenster zu öffnen, in dem du den Umfang der angezeigten Informationen pro Tabellenzeile anpassen kannst.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Zeilenhöhe	Lege fest, ob für die Vorschau der Log-Informationen eine oder alle verfügbaren Log-Zeilen innerhalb einer Tabellenzeile angezeigt werden sollen. Klicke auf die gewünschte Option, um diese auszuwählen. Folgende Optionen stehen zur Verfügung: Eine Zeile: Die Vorschau der Log-Informationen umfasst nur eine Zeile. Autofit: Die Höhe einer Tabellenzeile richtet sich nach der Länge des Logs. Es werden alle verfügbaren Informationen angezeigt.
Zeilen pro Reihe	Lege eine konkrete Anzahl an Log-Zeilen fest, die innerhalb einer Tabellenzeile angezeigt werden sollen. Die standardmäßig angegebene Anzahl ist 4. Klicke auf den Schieberegler und ziehe diesen bei gedrückter. Maus, bis die gewünschte Anzahl an Log-Zeilen im Feld daneben angezeigt wird, oder ändere die Zahl im Feld neben Zeilen pro Reihe manuell.
Feldname kürzen	Lege fest, wie die Feldnamen der angezeigten Felder dargestellt werden sollen. Diese Funktion ist standardmäßig aktiviert. Bei aktivierter Funktion wird der Name des angezeigten Feldes auf die letzte Gruppe hinter einem Punkt begrenzt dargestellt. Ist die Funktion deaktiviert, werden die vollständigen Feldnamen angezeigt. Klicke auf den Schieberegler um die Option zu aktivieren oder zu deaktivieren.

Option

Beschreibung

Zeilenhöhe

Lege fest, ob für die Vorschau der Log-Informationen eine oder alle verfügbaren Log-Zeilen innerhalb einer Tabellenzeile angezeigt werden sollen.

Klicke auf die gewünschte Option, um diese auszuwählen.

Folgende Optionen stehen zur Verfügung:

Eine Zeile: Die Vorschau der Log-Informationen umfasst nur eine Zeile.
Autofit: Die Höhe einer Tabellenzeile richtet sich nach der Länge des Logs. Es werden alle verfügbaren Informationen angezeigt.

Zeilen pro Reihe

Lege eine konkrete Anzahl an Log-Zeilen fest, die innerhalb einer Tabellenzeile angezeigt werden sollen.

Die standardmäßig angegebene Anzahl ist 4.

Klicke auf den Schieberegler und ziehe diesen bei gedrückter. Maus, bis die gewünschte Anzahl an Log-Zeilen im Feld daneben angezeigt wird, oder ändere die Zahl im Feld neben Zeilen pro Reihe manuell.

Feldname kürzen

Lege fest, wie die Feldnamen der angezeigten Felder dargestellt werden sollen.

Diese Funktion ist standardmäßig aktiviert.

Bei aktivierter Funktion wird der Name des angezeigten Feldes auf die letzte Gruppe hinter einem Punkt begrenzt dargestellt. Ist die Funktion deaktiviert, werden die vollständigen Feldnamen angezeigt.

Klicke auf den Schieberegler um die Option zu aktivieren oder zu deaktivieren.

Klicke auf **Zurücksetzen**, um alle Einstellungen auf die Standardwerte zurückzusetzen. Klicke auf **Schließen**, um die Einstellungen zu speichern und das Fenster zu schließen. *** ## Data Lake: Logfelder-Liste Die linke Seite der Data-Lake-Ansicht enthält eine Liste aller Logs, die ins SIEM eingespeist werden. Jedes Log beinhaltet eine Liste an Feldern, nach denen du die [Data-Lake-Übersicht](#data-lake-ubersicht) auf der rechten Seite noch spezifischer filtern kannst.

### Nach Feldern suchen Klicke in das Feld **Nach Feldern suchen** oberhalb der Logfelder-Liste und gib einen (Teil-)Feldnamen ein, um ein Feld, nach dem du die [Data-Lake-Übersicht](#data-lake-ubersicht) filtern möchtest, schneller zu finden. Die Logfelder-Liste zeigt daraufhin standardmäßig nur diejenigen Logs und zugehörigen Felder an, die dem Suchbegriff entsprechen.

### Einstellungen für Filterabfragen Klicke auf das **Einstellungen**-Symbol neben dem [Suchfeld](#nach-feldern-suchen) oberhalb der Logfelder-Liste, um ein neues Fenster zu öffnen, in dem du Einstellungen für Filterabfragen festlegen kannst.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Filterbasierte Suche	Aktiviere die filterbasierte Suche, um pro Feld aufgelistete Werte auf die aktuell in der Data-Lake-Übersicht gesetzten Filter einzuschränken. Werte, die nicht mit dem gesetzten Filter übereinstimmen, werden dadurch in den aufgelisteten Feldwerten nicht mit angezeigt. Diese Option ist standardmäßig aktiviert.
Nur Ergebnisfelder anzeigen	Aktiviere diese Option, um bei der Freitextsuche nur diejenigen Felder vorzuschlagen, die in den Log-Einträgen in der Data-Lake-Übersicht tatsächlich vorkommen. Diese Option ist standardmäßig aktiviert.

Option

Beschreibung

Filterbasierte Suche

Aktiviere die filterbasierte Suche, um pro Feld aufgelistete Werte auf die aktuell in der Data-Lake-Übersicht gesetzten Filter einzuschränken.

Werte, die nicht mit dem gesetzten Filter übereinstimmen, werden dadurch in den aufgelisteten Feldwerten nicht mit angezeigt.

Diese Option ist standardmäßig aktiviert.

Nur Ergebnisfelder anzeigen

Aktiviere diese Option, um bei der Freitextsuche nur diejenigen Felder vorzuschlagen, die in den Log-Einträgen in der Data-Lake-Übersicht tatsächlich vorkommen.

Diese Option ist standardmäßig aktiviert.

Klicke auf **Speichern**, um die vorgenommenen Einstellungen zu übernehmen. Klicke auf **Schließen**, um ohne zu speichern zurück in die Data-Lake-Übersicht zu gelangen. ### Feld-Favoriten Zu Beginn der Logfelder-Liste siehst du verschiedene Feld-Namen, die mit einem **Stern**-Symbol versehen sind.

Dies sind von uns verwaltete Feld-Favoriten, die ein schnelleres Filtern ermöglichen. ### Logfelder aus- und einblenden Du hast die Möglichkeit, Logfelder aus der Liste aus- und wieder einzublenden. Ausgeblendete Logfelder findest du am Ende der Logfelder-Liste unter **Ausgeblendete Felder**. Fahre mit dem Mauszeiger über einen Log-Namen, um das **Ausblenden**-Symbol anzuzeigen. Klicke darauf, um das Log inklusive aller zugehörigen Felder aus der Logfelder-Liste zu entfernen.

Navigiere zum Ende der Logfelder-Liste und klicke auf das ausgegraute Feld **Ausgeblendete Felder**, um alle ausgeblendeten Logfelder anzuzeigen. Fahre mit dem Mauszeiger über einen Log-Namen, um das **Einblenden**-Symbol anzuzeigen. Klicke darauf, um das Log inklusive aller zugehörigen Felder wieder in der Logfelder-Liste anzuzeigen.

### Nach Feldern filtern Klicke auf das **Ausklappen**-Symbol neben einem Log-Namen, um alle diesem Filter zugehörigen Felder anzuzeigen. Klicke auf das **Einklappen**-Symbol um alle Felder wieder einzuklappen.

Du hast nun zwei unterschiedliche Möglichkeiten, nach spezifischen Feldern zu filtern. Zum Einen kannst du dir ausgewählte [Felder als Tabellenspalten](#gefilterte-felder-als-tabellenspalte-visualisieren) in der Data-Lake-Übersicht anzeigen lassen. Zum Anderen hast du die Möglichkeit, mithilfe von Operatoren granulare [Feldwert-Filter zu erstellen](#feldwert-filter-erstellen). #### Option 1: Gefilterte Felder als Tabellenspalte visualisieren Fahre mit dem Mauszeiger über einen Feld-Namen, um das Symbol für **Als Spalte hinzufügen** anzuzeigen. Klicke darauf, um das Feld als Spalte in der Data-Lake-Übersicht hinzuzufügen.

Du kannst diesen Vorgang beliebig oft mit weiteren Feldern wiederholen, um der Ansicht weitere Spalten hinzuzufügen.

Ist das ausgewählte Feld in einem Log-Eintrag vorhanden, wird der entsprechende Feldwert in der Spalte ausgegeben.

Klicke auf einen ausgegebenen Feldwert, um die [Erweiterten Filter-Einstellungen](#erweiterte-filter-einstellungen) zu öffnen, in denen der ausgewählte Wert bereits eingetragen ist. Lass alle Einstellungen, wie sie sind, oder passe weitere Einstellungen an und klicke auf **Filter hinzufügen**, um die Data-Lake-Übersicht nach dem entsprechenden Feldwert zu filtern.

---------------

Ist das ausgewählte Feld in einem Log-Eintrag nicht vorhanden, wird folgendes angezeigt:

Klicke auf **Feldfilter hinzufügen**, um ausschließlich Log-Einträge anzuzeigen, in denen das ausgewählte Feld vorhanden ist.

---------------

Felder, die du der [Data-Lake-Übersicht](#data-lake-log-ubersicht) als Spalten hinzugefügt hast, werden unterhalb des Suchfelds als **Gefilterte Felder** aufgelistet.

Klicke auf das **Löschen**-Symbol neben einem Feldnamen, um die entsprechende Spalte in der Log-Ansicht zu entfernen. #### Option 2: Feldwert-Filter erstellen Klicke auf ein Feld, nach dem du die [Data-Lake-Übersicht](#data-lake-ubersicht) noch spezifischer filtern willst. Es öffnet sich ein Fenster, in dem alle Werte, die in dem entsprechenden Feld über alle Log-Einträge hinweg vorkommen, aufgelistet sind.

Das Fenster enthält folgende Informationen und Optionen:

Option	Beschreibung
Feldname	Zeigt den vollständigen Namen des ausgewählten Feldes.
	Klicke auf das Filtern-Symbol um die erweiterten Filter-Einstellungen zu öffnen.
Filterbasierte Suche aktiviert	Zeigt, ob die Funktion Filterbasierte Suche in den Einstellungen für Filterabfragen aktiviert oder deaktiviert ist.
Start- und Endzeitpunkt	Zeigt den Start- und Endzeitpunkt der angezeigten Log-Einträge, wie sie von dir eingestellt wurden.
	Klicke auf das Plus-Symbol neben einem aufgelisteten Wert, um die Data-Lake-Übersicht direkt nach allen Log-Einträgen, die diesen Wert enthalten, zu filtern.
	Klicke auf das Minus-Symbol neben einem aufgelisteten Wert, um alle Log-Einträge, die diesen Wert enthalten, direkt aus der Data-Lake-Übersicht auszuschließen.

#### Erweiterte Filter-Einstellungen Die erweiterten Filter-Einstellungen werden sichtbar, wenn du in der Filter-Liste ein spezifisches Feld auswählst und im Fenster, das sich öffnet, auf das **Filtern**-Symbol klickst.

Es öffnet sich das neue Fenster **Filter hinzufügen**. Hier kannst du granulare Einstellungen für Feldwerte und Feldwert-Kombinationen vornehmen, um die [Data-Lake-Übersicht](#data-lake-ubersicht) entsprechend zu filtern.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Feldname	Zeigt den vollständigen Feldnamen sowie den Feldtypen des Feldes, für das du gerade die Einstellung vornimmst.
Operator	Lege fest, welcher Operator für den Filter gelten soll. Der standardmäßig ausgewählte Operator ist Gleich. Klicke in das Feld Operator, um eine Liste aller verfügbaren Optionen auszuklappen. Folgende Optionen stehen zur Verfügung: Gleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht. Ungleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht. Existiert: Es werden nur Log-Einträge angezeigt, in denen das Feld vorhanden ist. Existiert nicht: Es werden nur Log-Einträge angezeigt, in denen das Feld nicht vorhanden ist.

Option

Beschreibung

Feldname

Zeigt den vollständigen Feldnamen sowie den Feldtypen des Feldes, für das du gerade die Einstellung vornimmst.

Operator

Lege fest, welcher Operator für den Filter gelten soll.

Der standardmäßig ausgewählte Operator ist Gleich.

Klicke in das Feld Operator, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

Gleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht.
Ungleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht.
Existiert: Es werden nur Log-Einträge angezeigt, in denen das Feld vorhanden ist.
Existiert nicht: Es werden nur Log-Einträge angezeigt, in denen das Feld nicht vorhanden ist.

Die folgenden Felder werden nur angezeigt, wenn du als **Operator** die Optionen **Gleich** oder **Ungleich** auswählst.

Option	Beschreibung
Wert	Gib den Wert für das Feld an, der durch den Operator berücksichtigt werden soll. Klicke auf das Plus-Symbol neben dem Feld Wert, um dem Filter weitere Feld-Werte hinzuzufügen. Klicke auf das Löschen-Symbol neben einem hinzugefügten Wert, um diesen zu entfernen.
Logische Verknüpfung	Diese Option ist nur sichtbar, wenn du zwei oder mehr Werte angibst. Lege fest, wie die angegebenen Werte mit einander verknüpft sein sollen. Die standardmäßig ausgewählte Verknüpfung ist Oder. Folgende Optionen stehen zur Verfügung: Oder: Es muss mindestens einer der oben angegebenen Werte in dem entsprechenden Feld eines Log-Eintrags vorhanden sein. Und: Es müssen alle oben angegebenen Werte in dem entsprechenden Feld eines Log-Eintrags vorhanden sein.
Exakte Übereinstimmung	Lege fest, ob die Schreibweise der oben angegebenen Werte exakt mit derjenigen der tatsächlichen Log-Einträge übereinstimmen soll. Dies betrifft auch die Groß- und Kleinschreibung der Werte. Ist diese Option aktiviert, werden nur Log-Einträge angezeigt, bei denen eine exakte Übereinstimmung inklusive Groß- und Kleinschreibung zutrifft. Diese Option ist standardmäßig aktiviert.
Groß-/Kleinschreibung ignorieren	Lege fest, ob die Schreibweise der oben angegebenen Werte mit derjenigen der tatsächlichen Log-Einträge übereinstimmen soll, ohne die Groß- und Kleinschreibung der Werte zu beachten. Ist diese Option aktiviert, werden nur Log-Einträge angezeigt, bei denen eine Übereinstimmung ohne Beachtung von Groß- und Kleinschreibung zutrifft. Diese Option ist nicht standardmäßig aktiviert.
Regulärer Ausdruck	Lege fest, ob du reguläre Ausdrücke nutzen möchtest, um Feldwerte für die Filterung zu definieren. Ist diese Option aktiviert, kannst du im Feld Wert reguläre Ausdrücke nutzen. Diese Option ist nicht standardmäßig aktiviert.

Klicke auf **Filter hinzufügen**, um den Filter für die Data-Lake-Übersicht zu übernehmen. Klicke auf **Schließen**, um ohne den Filter anzuwenden zurück in die Data-Lake-Übersicht zu gelangen. ### Gesetzte Filter bearbeiten Wenn du einen verwalteten oder benutzerdefinierten [Stream](/docs/manual/bedienung-der-plattform/siem/streams.md) als Filter ausgewählt hast oder einen Filter über die [Filter-Liste](#data-lake-eingangsfilter-liste) auf der linken Seite gesetzt hast, wird dieser oberhalb des Säulendiagramms in der [Data-Lake-Übersicht](#data-lake-log-ubersicht) als String angezeigt.

Du hast verschiedene Möglichkeiten, diesen zu bearbeiten. #### Option 1: Filteroperator bearbeiten Klicke auf einen Operator im Filter-String, um diesen zu ändern.

Du hast folgende Möglichkeiten:

Operator	Beschreibung
= (Gleich) oder ≠ (Ungleich)	Klicke auf den Operator, um eine Liste aller verfügbaren Optionen auszuklappen und wähle die entsprechende Option aus. Es werden nur die Operatoren angezeigt, die gerade nicht auf den Filter angewandt werden. Folgende Optionen stehen zur Verfügung: = (Gleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht. ≠ (Ungleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht. Sonstiges: Wähle diese Option, um einen anderen Operator als = (gleich) oder ≠ (ungleich) auswählen. Es öffnet sich das Fenster Erweiterte Filter-Einstellungen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.
Existiert oder Existiert nicht	Klicke auf den Operator Existiert oder Existiert nicht, um das Fenster Erweiterte Filter-Einstellungen zu öffnen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.

Operator

Beschreibung

= (Gleich) oder ≠ (Ungleich)

Klicke auf den Operator, um eine Liste aller verfügbaren Optionen auszuklappen und wähle die entsprechende Option aus.

Es werden nur die Operatoren angezeigt, die gerade nicht auf den Filter angewandt werden.

Folgende Optionen stehen zur Verfügung:

= (Gleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht.
≠ (Ungleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht.
Sonstiges: Wähle diese Option, um einen anderen Operator als = (gleich) oder ≠ (ungleich) auswählen. Es öffnet sich das Fenster Erweiterte Filter-Einstellungen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.

Existiert oder Existiert nicht

Klicke auf den Operator Existiert oder Existiert nicht, um das Fenster Erweiterte Filter-Einstellungen zu öffnen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.

#### Option 2: Filterverknüpfung bearbeiten Eine logische Verknüpfung ist nur sichtbar, wenn du mindestens zwei Filter gesetzt hast. Klicke auf die logische Verknüpfung zwischen zwei Filtern, um mögliche Optionen auszuklappen, und wähle eine Option aus. {% hint style="info" %} Die standardmäßig gesetzte Filterverknüpfung ist **AND**. {% endhint %}

Es stehen folgende Verknüpfungen zur Verfügung: * **AND**: Es müssen alle gesetzten Filter in einem Log-Eintrag vorhanden sein, um diesen anzuzeigen. * **OR**: Es muss mindestens einer der gesetzten Filter in einem Log-Eintrag vorhanden sein, um diesen anzuzeigen. #### Option 3: Filterausdruck bearbeiten Klicke auf das **Bearbeiten**-Symbol rechts in der Zeile neben dem Filter-String.

Du hast anschließend die Möglichkeit, den Filterausdruck in Raw-Query-Syntax manuell zu bearbeiten.

Klicke auf **Übernehmen**, nachdem du alle Anpassungen vorgenommen hast, um den Filter anzuwenden. {% hint style="warning" %} **Bitte beachte:** Wenn du mehr als zwei Filter kombinierst und zwischen **AND** und **OR** wechselst, setze die Filter-Logik, die zuerst gelten soll, in Klammern, um die Reihenfolge der Prüfung festzulegen. Im folgenden Beispiel wird zuerst nach SSH und Sicherheitsbenachrichtigungen gesucht, bevor das Datum geprüft wird: `(gen.product:"SSH" AND gen.facility:"security/authorization messages") OR gen.timestamp:"2026-01-28"` {% endhint %} #### Option 4: Filter entfernen Klicke auf das **Entfernen**-Symbol rechts neben einem gesetzten Filter, um den entsprechenden Filter zu löschen. *** ## Data Lake: Log-Übersicht Die Data-Lake-Übersicht besteht aus zwei Hauptbereichen, einem [Säulendiagramm](#log-erfassung-diagramm) und den eigentlichen Log-Einträgen. Gesetzte Filter werden zusätzlich oberhalb des Säulendiagramms als String angezeigt. ### Freitextsuche Zusätzlich zum Feld **Nach Feldern suchen** in der Logfelder-Liste kannst du auch in der Data-Lake-Übersicht nach Feldern suchen. Klicke dazu in das **Freitextsuche**-Feld (\*:\*) oberhalb des Säulendiagramms und gib einen frei wählbaren Suchbegriff ein. Dir werden alle Felder angezeigt, die dem Suchbegriff entsprechen und für die es in der Log-Übersicht auch Ergebnisse gibt.

Klicke auf einen Feld-Namen, um für diesen einen erweiterten Filter hinzuzufügen. Es öffnet sich das Fenster [Filter hinzufügen](#erweiterte-filter-einstellungen), in dem das ausgewählte Feld bereits eingetragen ist. ### Log-Einträge: Zeitleiste Das Säulendiagramm visualisiert die Anzahl erfasster Log-Einträge im Data Lake innerhalb des [eingestellten Zeitraums](#start-und-endzeitpunkt-festlegen) entsprechend der [gesetzten Filter](#filtern-nach-feldern).

Fahre mit dem Mauszeiger über eine Säule, um den genauen Zeitpunkt der Messung sowie die genaue Anzahl der vom letzten Messzeitpunkt bis zu diesem Messzeitpunkt erfassten Log-Einträge basierend auf den gesetzten Filtern anzuzeigen. ### Log-Einträge: Liste

Die Liste zeigt Log-Einträge aus allen angebundenen Quellen innerhalb des [eingestellten Zeitraums](#start-und-endzeitpunkt-festlegen) entsprechend der [gesetzten Filter](#filtern-nach-feldern). Du kannst der tabellarischen Liste folgende Informationen entnehmen:

Spalte	Beschreibung
Erstellt am	Zeigt das genaue Datum und die Uhrzeit, wann der Log-Eintrag erfasst wurde, sowie die entsprechende Zeitzone. Klicke auf das Erweitern-Symbol um die Log-Detailansicht zu öffnen.
Document	Zeigt eine Vorschau des Log-Eintrags. Die Anzahl der angezeigten Log-Zeilen pro Tabellenzeile hängt von den Einstellungen für die Log-Tabelle ab.

Klicke auf einen Feldwert innerhalb eines Log-Eintrags, um für diesen einen erweiterten Filter hinzuzufügen. Es öffnet sich das Fenster [Filter hinzufügen](#erweiterte-filter-einstellungen), in dem der ausgewählte Wert bereits eingetragen ist. ### Log-Detailansicht Klicke auf das **Erweitern**-Symbol in der Zeile eines Log-Eintrags, um alle Felder und Feldwerte des Log-Eintrags im JSON-Format anzuzeigen.

Klicke auf **In die Zwischenablage kopieren** rechts über dem Log-Eintrag, um alle Informationen in deine Zwischenablage zu kopieren.

---------------

Nutze die KI-Analysefunktion auf der linken Seite des Fensters, um dir den angezeigten Log-Eintrag basierend auf deinen Angaben zusammenfassen oder analysieren zu lassen. {% hint style="danger" %} **Bitte beachte**: Diese Funktion ist nur verfügbar, wenn du einen [Large Language Model (LLM)-Provider](/docs/manual/bedienung-der-plattform/siem/orchestrierung-soar/llm-provider/llm-provider-hinzufugen.md) an dein SIEM angebunden hast. {% endhint %}

Klicke dazu auf einen der vorgeschlagenen Prompts, **Fasse das Log zusammen** oder **Erkläre die Log-Felder**, oder gib einen eigenen Prompt in das Feld **Frag mich etwas** ein und bestätige deine Eingabe mit der **Enter**-Taste. ## Weitere Aktionen ### Logs exportieren Klicke auf **Exportieren** in der rechten oberen Ecke, um das Fenster **Export erstellen** zu öffnen. Hier kannst du die angezeigten Log-Einträge für den [eingestellten Zeitraum](#start-und-endzeitpunkt-festlegen) entsprechend der [gesetzten Filter](#filtern-nach-feldern) exportieren. Der erstellte Export wird dir unter **SIEM** → [Exporte](/docs/manual/bedienung-der-plattform/siem/exports.md) angezeigt.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Name	Gib dem Export einen aussagekräftigen Namen.
Format	Lege fest, in welchem Format du den Export erstellen möchtest. Folgende Formate stehen zur Verfügung: CSV (Comma-Separated Values): Lade den Export als .csv-Datei herunter. JSON (JavaScript Object Notation): Lade den Export als .json-Datei herunter. XML (Extensible Markup Language): Lade den Export als .xml-Datei herunter. Das standardmäßig ausgewählte Format ist CSV. Klicke in das Feld Format, um eine Liste der verfügbaren Optionen auszuklappen, und wähle ein Format aus.
Läuft ab	Lege fest, bis zu welchem Zeitpunkt der erstellte Export unter Exporte zum Herunterladen verfügbar ist. Klicke dazu auf das Kalender-Symbol um die Datumsauswahl zu öffnen. Nutze die Navigation, um das gewünschte Datum auszuwählen. Klicke auf Schließen, um das gewählte Datum zu übernehmen.
Logs	Zeigt die Anzahl aller Log-Einträge, die für den eingestellten Zeitraum entsprechend der gesetzten Filter exportiert werden. Dieses Feld kann nicht bearbeitet werden. Bitte beachte: Wir empfehlen, nicht mehr als 1 Million Log-Einträge zu exportieren, um Ressourcen-Engpässe zu vermeiden.
Ich bin mir des Risikos bewusst und möchte fortfahren	Diese Option wird nur angezeigt, wenn du mehr als 1 Million Log-Einträge exportieren möchtest. Aktiviere diese Option, um zu bestätigen, dass du dir des Risikos eines Exports dieser Größenordnung bewusst bist und diesen dennoch durchführen möchtest. Setze dazu einen Haken in die Checkbox neben der Option, um sie zu aktivieren, oder entferne den Haken aus der Checkbox , um die Option zu deaktivieren. Bitte beachte: Dies ist ein Pflichtfeld. Nur wenn du bestätigst, dass du dir der Risiken eines zu hohen Ressourcen-Bedarfs durch den Export bewusst bist, kann der Export gestartet werden.

Klicke auf **Export erstellen**, um den Export asynchron im Hintergrund erstellen zu lassen. Sobald der Export erstellt ist, kannst du ihn unter **SIEM** → [Exporte](/docs/manual/bedienung-der-plattform/siem/exports.md) anzeigen und herunterladen. ### Stream öffnen Klicke auf **Stream öffnen** in der rechten oberen Ecke, um einen bereits existierenden, verwalteten oder benutzerdefinierten Stream auszuwählen und als Data-Lake-Filter anzuwenden. Es öffnet sich ein neues Fenster **Event-Stream** mit den Tabs [Verwaltete Event-Streams](#tab-1-verwaltete-event-streams) und [Deine Event-Streams](#tab-2-deine-event-streams). Klicke auf einen Tab, um in die entsprechende Ansicht zu wechseln. Nutze die Freitextsuche über das Feld **Suchen**, um Streams in der jeweiligen Liste schneller zu finden.

#### Tab 1: Verwaltete Event-Streams Unter dem Tab **Verwaltete Event-Streams** findest du von Enginsight bereitgestellte Streams. Diese sind nach Log-Quellen gruppiert. Klicke auf das **Aufklappen**-Symbol rechts neben einer Stream-Gruppe, um eine Liste aller zugehörigen Streams auszuklappen. Klicke auf das **Einklappen**-Symbol um diese wieder einzuklappen.

Klicke auf einen Stream aus der Liste, um diesen auszuwählen und dir die entsprechend gefilterten Log-Einträge in der Data-Lake-Übersicht anzeigen zu lassen. Geöffnete Streams werden dir oberhalb der Data-Lake-Übersicht als Tabs angezeigt.

Klicke auf einen Tab, um in die entsprechend gefilterte Data-Lake-Ansicht zu wechseln. Klicke auf das **Entfernen**-Symbol neben einem Stream-Namen, um den offenen Tab zu schließen. #### Tab 2: Deine Event-Streams Unter dem Tab **Deine Event-Streams** findest du deine benutzerdefinierten Streams. Dies können Streams sein, die du unter SIEM → [Streams](/docs/manual/bedienung-der-plattform/siem/streams.md) hinzugefügt hast, oder Streams, die du aus der Data-Lake-Ansicht heraus [gespeichert hast](#stream-speichern). {% hint style="info" %} Wenn du noch keine eigenen Streams angelegt hast, ist diese Ansicht leer. {% endhint %} Klicke auf das **Löschen**-Symbol rechts neben einem Stream-Namen, um diesen zu löschen. {% hint style="danger" %} **Bitte beachte**: Gelöschte Streams sind unwiederbringlich verloren! {% endhint %} ### Stream speichern Du kannst manuell im Data Lake gesetzte Filter als Streams speichern, um diese schneller wieder aufrufen oder für andere SIEM-Funktionen verwenden zu können. Klicke auf **Stream speichern** in der rechten oberen Ecke, um ein neues Fenster zu öffnen.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Stream hinzufügen	Speichere den aktuellen Filter als neuen Stream. Klicke dazu in das Feld Name und gib dem neuen Stream einen aussagekräftigen Namen.
Überschreiben	Wähle einen bestehenden Stream, dessen Filter du aktualisieren möchtest. Bitte beachte: Überschreibst du einen bestehenden Stream, werden alle dort vorgenommenen Filtereinstellungen überschrieben!

Klicke auf **Stream hinzufügen**, um den neuen Stream zu speichern. Du findest den neu erstellten Stream nun unter SIEM → [Streams](/docs/manual/bedienung-der-plattform/siem/streams.md). Klicke auf **Schließen**, um ohne zu speichern zurück in die Data-Lake-Übersicht zu gelangen. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/data-lake.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.