Filtrer les données dans la vue d'analyse des journaux bruts

L'analyse de journaux bruts vous permet d'examiner vos journaux bruts non analysés. Lorsque vous effectuez une recherche, Chronicle examine d'abord les données de sécurité qui ont été à la fois ingérées et analysées. Si vous ne trouvez pas les informations que vous recherchez, vous pouvez utiliser l'analyse des journaux bruts pour examiner vos journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner de plus près les journaux bruts.

Utilisez l'analyse des journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés, y compris:

  • Noms d'utilisateur
  • Noms de fichiers
  • Clés de registre
  • Arguments de ligne de commande
  • Données brutes liées aux requêtes HTTP
  • Noms de domaine basés sur des expressions régulières
  • Noms et adresses des composants

Pour utiliser l'analyse des journaux bruts dans Chronicle, procédez comme suit:

  1. Saisissez une chaîne de recherche dans la barre de recherche de la page de destination ou dans la barre de menu en haut de l'interface utilisateur Chronicle. Cliquez sur RECHERCHER.

    Image Rechercher une valeur textuelle sur la page de destination

  2. Sélectionnez Raw Log Scan (Analyse des journaux bruts) dans le menu déroulant.

    Image Menu de détection automatique de la recherche Chronicle

  3. Chronicle ouvre les options d'analyse des journaux bruts.

    Image Menu d'options de recherche pour l'analyse des journaux bruts

  4. Indiquez l'heure de début et l'heure de fin (la valeur par défaut étant "1 semaine"), puis cliquez sur RECHERCHER.

    Dans la vue Recherche dans le journal brut, les filtres sont basés sur un ensemble limité d'événements tels que DNS, Webproxy, EDR et Alerte. Les filtres n'incluent pas d'informations sur les autres types d'événements, tels que GENERIC, EMAIL et USER.

  5. La vue d'analyse des journaux bruts s'affiche, comme illustré ci-dessous.

    Image Vue de l'analyse des journaux bruts

    Vous pouvez utiliser des expressions régulières pour rechercher et mettre en correspondance des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Chronicle. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations plutôt qu'à l'aide d'un nom de domaine complet, par exemple.

    Les options de filtrage procédural suivantes sont disponibles dans la vue "Analyse des journaux bruts" :

    • TYPE D'ÉVÉNEMENT
    • ENREGISTRER LA SOURCE
    • ÉTAT DE LA CONNEXION RÉSEAU
    • TLD

    Image Options de filtrage de la vue de l'analyse de journaux bruts