# Stream hinzufügen Klicke auf **Stream hinzufügen** in der rechten oberen Ecke der [Streams-Übersicht](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager.md#policy-manager-ubersicht), um einen neuen Stream zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Streams** → **Hinzufügen**.

Klicke auf **Stream hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um den neuen Stream zu speichern und erstellen. Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Stream hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} *** ## Grundeinstellungen

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Name	Gib dem Stream einen aussagekräftigen Namen.
Beschreibung	Beschreibe den Stream genauer. Dieses Feld ist optional.
Tags	Lege Tags fest, die dem Stream zugeordnet werden sollen. Dieses Feld ist optional. Klicke in das Feld Tags, um eine Liste aller verfügbaren Tags auszuklappen, und wähle einen oder mehrere Tags aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden. Zudem kannst du neue Tags eingeben und die Eingabe mit der Enter-Taste bestätigen. Klicke auf das Entfernen-Symbol neben einem hinzugefügten Tag, um ihn aus dem Feld Tags zu entfernen.
Schweregrad	Lege einen Schweregrad für den Stream fest. Der standardmäßig angegebene Schweregrad ist Medium. Klicke in das Feld Schweregrad, um eine Liste aller verfügbaren Schweregrade auszuklappen, und wähle einen Schweregrad aus. Folgende Schweregrade stehen zur Verfügung: Critical: Der Stream hat eine sehr hohe Kritikalität. High: Der Stream hat eine hohe Kritikalität. Medium: Der Stream hat eine mittlere Kritikalität. Low: Der Stream hat eine geringe Kritikalität.

*** ## Suchfilter Im Bereich **Suchfilter** legst du fest, welche Suchkriterien dein Stream erfüllen muss. Die auf der rechten Seite in der [Ergebnisvorschau](#ergebnisvorschau) angezeigten Log-Einträge aktualisieren sich dabei basierend auf den eingegebenen Filtern in Echtzeit.

### Freitextsuche Klicke in das Feld **Freitextsuche**, um gezielt Felder, Werte oder komplette Datenabfragen einzugeben. ### Filter hinzufügen Klicke auf **+ Suchfilter hinzufügen**, um ein neues Fenster zu öffnen, in dem du einen neuen Filter erstellen kannst.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Feldname	Wähle das Log-Feld aus, für das du einen Filter erstellen möchtest. Klicke dazu in das Feld Feldname, um eine Liste aller verfügbaren Log-Felder anzuzeigen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden.
Operator	Lege fest, welcher Operator für den Filter gelten soll. Der standardmäßig ausgewählte Operator ist Gleich. Klicke in das Feld Operator, um eine Liste aller verfügbaren Optionen auszuklappen. Folgende Optionen stehen zur Verfügung: Gleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht. Ungleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht. Existiert: Es werden nur Log-Einträge angezeigt, in denen das Feld vorhanden ist. Existiert nicht: Es werden nur Log-Einträge angezeigt, in denen das Feld nicht vorhanden ist.

Option

Beschreibung

Feldname

Wähle das Log-Feld aus, für das du einen Filter erstellen möchtest.

Klicke dazu in das Feld Feldname, um eine Liste aller verfügbaren Log-Felder anzuzeigen, und wähle ein Feld aus. Oder nutze die Freitexteingabe, um Felder in der Liste schneller zu finden.

Operator

Lege fest, welcher Operator für den Filter gelten soll.

Der standardmäßig ausgewählte Operator ist Gleich.

Klicke in das Feld Operator, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

Gleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht.
Ungleich: Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht.
Existiert: Es werden nur Log-Einträge angezeigt, in denen das Feld vorhanden ist.
Existiert nicht: Es werden nur Log-Einträge angezeigt, in denen das Feld nicht vorhanden ist.

Die folgenden Felder werden nur angezeigt, wenn du als **Operator** die Optionen **Gleich** oder **Ungleich** auswählst.

Option	Beschreibung
Wert	Gib den Wert für das Feld an, der durch den Operator berücksichtigt werden soll. Klicke auf das Plus-Symbol neben dem Feld Wert, um dem Filter weitere Feld-Werte hinzuzufügen. Klicke auf das Löschen-Symbol neben einem hinzugefügten Wert, um diesen zu entfernen.
Logische Verknüpfung	Diese Option ist nur sichtbar, wenn du zwei oder mehr Werte angibst. Lege fest, wie die angegebenen Werte mit einander verknüpft sein sollen. Die standardmäßig ausgewählte Verknüpfung ist Oder. Folgende Optionen stehen zur Verfügung: Oder: Es muss mindestens einer der oben angegebenen Werte in dem entsprechenden Feld eines Log-Eintrags vorhanden sein. Und: Es müssen alle oben angegebenen Werte in dem entsprechenden Feld eines Log-Eintrags vorhanden sein.
Exakte Übereinstimmung	Lege fest, ob die Schreibweise der oben angegebenen Werte exakt mit derjenigen der tatsächlichen Log-Einträge übereinstimmen soll. Dies betrifft auch die Groß- und Kleinschreibung der Werte. Ist diese Option aktiviert, werden nur Log-Einträge angezeigt, bei denen eine exakte Übereinstimmung inklusive Groß- und Kleinschreibung zutrifft. Diese Option ist standardmäßig aktiviert.
Groß-/Kleinschreibung ignorieren	Lege fest, ob die Schreibweise der oben angegebenen Werte mit derjenigen der tatsächlichen Log-Einträge übereinstimmen soll, ohne die Groß- und Kleinschreibung der Werte zu beachten. Ist diese Option aktiviert, werden nur Log-Einträge angezeigt, bei denen eine Übereinstimmung ohne Beachtung von Groß- und Kleinschreibung zutrifft. Diese Option ist nicht standardmäßig aktiviert.
Regulärer Ausdruck	Lege fest, ob du reguläre Ausdrücke nutzen möchtest, um Feldwerte für die Filterung zu definieren. Ist diese Option aktiviert, kannst du im Feld Wert reguläre Ausdrücke nutzen. Diese Option ist nicht standardmäßig aktiviert.

Klicke auf **Filter hinzufügen**, um den Filter für die Data-Lake-Übersicht zu übernehmen. Klicke auf **Schließen**, um ohne den Filter anzuwenden zurück in die Data-Lake-Übersicht zu gelangen. ### Hinzugefügte Filter bearbeiten Wenn du einen Filter hinzugefügt hast, wird dieser im Bereich [Suchfilter](#suchfilter) unterhalb des Feldes **Freitextsuche** angezeigt.

Du hast verschiedene Möglichkeiten, diesen zu bearbeiten. #### Option 1: Filteroperator bearbeiten Klicke auf einen Operator im Filter-String, um diesen zu ändern.

Du hast folgende Möglichkeiten:

Operator	Beschreibung
= (Gleich) oder ≠ (Ungleich)	Klicke auf den Operator, um eine Liste aller verfügbaren Optionen auszuklappen und wähle die entsprechende Option aus. Es werden nur die Operatoren angezeigt, die gerade nicht auf den Filter angewandt werden. Folgende Optionen stehen zur Verfügung: = (Gleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht. ≠ (Ungleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht. Sonstiges: Wähle diese Option, um einen anderen Operator als = (gleich) oder ≠ (ungleich) auswählen. Es öffnet sich das Fenster Erweiterte Filter-Einstellungen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.
Existiert oder Existiert nicht	Klicke auf den Operator Existiert oder Existiert nicht, um das Fenster Erweiterte Filter-Einstellungen zu öffnen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.

Operator

Beschreibung

= (Gleich) oder ≠ (Ungleich)

Klicke auf den Operator, um eine Liste aller verfügbaren Optionen auszuklappen und wähle die entsprechende Option aus.

Es werden nur die Operatoren angezeigt, die gerade nicht auf den Filter angewandt werden.

Folgende Optionen stehen zur Verfügung:

= (Gleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld genau dem angegebenen Wert entspricht.
≠ (Ungleich): Es werden nur Log-Einträge angezeigt, in denen der Wert im Feld nicht dem angegebenen Wert entspricht.
Sonstiges: Wähle diese Option, um einen anderen Operator als = (gleich) oder ≠ (ungleich) auswählen. Es öffnet sich das Fenster Erweiterte Filter-Einstellungen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.

Existiert oder Existiert nicht

Klicke auf den Operator Existiert oder Existiert nicht, um das Fenster Erweiterte Filter-Einstellungen zu öffnen, in dem du vorgenommene Einstellungen für den Filter bearbeiten kannst.

#### Option 2: Filterverknüpfung bearbeiten Eine logische Verknüpfung ist nur sichtbar, wenn du mindestens zwei Filter gesetzt hast. Klicke auf die logische Verknüpfung zwischen zwei Filtern, um mögliche Optionen auszuklappen, und wähle eine Option aus. {% hint style="info" %} Die standardmäßig gesetzte Filterverknüpfung ist **AND**. {% endhint %}

Es stehen folgende Verknüpfungen zur Verfügung: * **AND**: Es müssen alle gesetzten Filter in einem Log-Eintrag vorhanden sein, um diesen anzuzeigen. * **OR**: Es muss mindestens einer der gesetzten Filter in einem Log-Eintrag vorhanden sein, um diesen anzuzeigen. #### Option 3: Filterausdruck bearbeiten Klicke auf das **Bearbeiten**-Symbol rechts in der Zeile neben dem Filter-String. Du hast anschließend die Möglichkeit, den Filterausdruck in Raw-Query-Syntax manuell zu bearbeiten.

Klicke auf **Übernehmen**, nachdem du alle Anpassungen vorgenommen hast, um den Filter anzuwenden. {% hint style="warning" %} **Bitte beachte:** Wenn du mehr als zwei Filter kombinierst und zwischen **AND** und **OR** wechselst, setze die Filter-Logik, die zuerst gelten soll, in Klammern, um die Reihenfolge der Prüfung festzulegen. Im folgenden Beispiel wird zuerst nach SSH und Sicherheitsbenachrichtigungen gesucht, bevor das Datum geprüft wird: `(gen.product:"SSH" AND gen.facility:"security/authorization messages") OR gen.timestamp:"2026-01-28"` {% endhint %} #### Option 4: Filter entfernen Klicke auf das **Entfernen**-Symbol rechts neben einem gesetzten Filter, um den entsprechenden Filter zu löschen. *** ## Stream-Kombination Im Bereich Stream-Kombination hast du die Möglichkeit, den Stream, den du gerade erstellst, mit bereits erstellten Streams zu kombinieren, um komplexere Data-Lake-Abfragen zu ermöglichen. Klicke auf **+ Stream-Kombination hinzufügen**, um den aktuellen Stream mit einem oder mehreren weiteren bestehenden Streams zu kombinieren.

Zwei oder mehr Bedingungen können mit dem Operator UND sowie mit dem Operator ODER verbunden werden. Zudem ist es möglich, einer Bedingung eine Unterbedingung hinzuzufügen. {% hint style="info" %} Bedingungen und Unterbedingungen sind beliebig verschachtelbar. Dies wird grafisch als hierarchischer Bedingungsbaum dargestellt. {% endhint %} Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Operatoren	Lege fest, wie du zwei oder mehr Streams verknüpfen möchtest. Folgende Operatoren stehen zur Verfügung: AND: Die gesetzten Filter aus dem ersten und dem zweiten Stream müssen zutreffen, damit im Data Lake Log-Einträge angezeigt werden. OR: Die gesetzten Filter mindestens eines Streams müssen zutreffen, damit im Data Lake Log-Einträge angezeigt werden.
Event-Stream	Wähle den ersten Stream aus, den du mit dem Stream, den du gerade erstellst, kombinieren möchtest. Klicke dazu in das Feld Event-Streams, um eine Liste aller verfügbaren Streams auszuklappen, und wähle einen Stream aus. Oder nutze die Freitexteingabe, um Streams in der Liste schneller zu finden. Klicke auf das Entfernen-Symbol um einen gewählten Stream aus dem Feld Event-Stream zu entfernen. Klicke auf das Löschen-Symbol um das gesamte Feld Event-Stream aus dem Bedingungsbaum zu entfernen.
Bedingung	Füge der Stream-Kombination einen weiteren Stream hinzu. Klicke dazu auf Bedingung, um ein weiteres Feld Event-Stream anzuzeigen. Klicke in das Feld Event-Streams, um eine Liste aller verfügbaren Streams auszuklappen, und wähle einen Stream aus. Oder nutze die Freitexteingabe, um Streams in der Liste schneller zu finden. Klicke auf das Entfernen-Symbol um einen gewählten Stream aus dem Feld Event-Stream zu entfernen. Klicke auf das Löschen-Symbol um das gesamte Feld Event-Stream aus dem Bedingungsbaum zu entfernen.
Unterbedingung	Füge einer Stream-Kombinations-Bedingung eine Unterbedingung hinzu, die zutreffen muss, damit Log-Einträge im Data Lake angezeigt werden. Klicke dazu auf Unterbedingung, um weitere Optionen anzuzeigen. Es öffnet sich ein untergeordneter Zweig im Bedingungsbaum. Die Bedienung erfolgt wie in der Spalte Bedingung beschrieben.

*** ## Finale Daten-Query

In der finalen Daten-Abfrage wird dir dein Stream oder deine Stream-Kombination nochmals als Raw-Syntax-Ausdruck angezeigt. {% hint style="info" %} Die finale Daten-Abfrage kann nicht bearbeitet werden. {% endhint %} *** ## Ergebnisvorschau

In der Ergebnisvorschau siehst du eine Echtzeit-Vorschau aller Log-Einträge aus der [Data-Lake-Übersicht](/docs/manual/bedienung-der-plattform/siem/data-lake.md#data-lake-log-ubersicht), die deinen aktuellen [Suchfiltern](#suchfilter) und, falls angegeben, [Stream-Kombinationen](#stream-kombination) entsprechen. Du kannst, falls gewünscht, den Zeitraum der Betrachtung wie folgt ändern:

Start- und Endzeitpunkt festlegen

Klicke auf **Startzeitpunkt** bzw. **Endzeitpunkt** in der rechten oberen Ecke, um einen Startzeitpunkt bzw. Endzeitpunkt für die Betrachtung zu definieren. Es öffnet sich die Datumsauswahl. #### Relativer Zeitraum (SCREENSHOT) Stelle manuell einen **relativen Zeitraum** ein. Du kannst auch einen relativen Zeitraum aus einer der **Vorlagen** auswählen. Klicke in das Feld mit der standardmäßigen Einstellung **Tage zuvor**, um eine Liste aller verfügbaren Zeiträume auszuklappen. Wähle einen Zeitraum aus. Gib im Zahlenfeld die Anzahl der Sekunden, Minuten, Stunden, Tage oder Wochen ein, die du anzeigen möchtest. Standardmäßig ist hier der Wert **1** eingestellt. Bestätige deine Angaben mit Klick auf **Übernehmen**. #### Absoluter Zeitraum (SCREENSHOT) Wähle ein Datum aus der Kalenderansicht aus. Klicke optional auf **Uhrzeit**, um mithilfe der Wählscheibe eine genaue Uhrzeit im 24-Stunden-Format festzulegen. Wähle zunächst eine Stunde aus. Die Wählscheibe springt daraufhin auf die Minutenanzeige. Wähle hier entsprechend die Minuten aus. Bestätige deine Angaben mit Klick auf **Übernehmen**.

Klicke auf **Mehr Anzeigen** unterhalb einer Log-Vorschau, um alle Felder und Werte dieses Log-Eintrags anzuzeigen.

Klicke auf einen Feldwert innerhalb eines Log-Eintrags, um für diesen einen Filter hinzuzufügen. Es öffnet sich das Fenster [Filter hinzufügen](#filter-hinzufugen), in dem der ausgewählte Wert bereits eingetragen ist. Hinzugefügte Filter findest du im Bereich [Suchfilter](#suchfilter) unterhalb des Feldes **Freitextsuche**. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/streams/stream-hinzufugen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.