Daten in der Rohdatenlogansicht filtern

Mit dem Raw-Log-Scan können Sie Ihre nicht geparsten Rohlogs prüfen. Wenn Sie eine Suche ausführen, prüft Chronicle zuerst die Sicherheitsdaten, die sowohl aufgenommen als auch geparst wurden. Wenn die gesuchten Informationen nicht gefunden werden, können Sie mit dem Raw Log Scan Ihre unverschlüsselten unverschlüsselten Logs überprüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohlogs genauer zu untersuchen.

Verwenden Sie den unbearbeiteten Logscan, um Artefakte zu untersuchen, die in Logs enthalten sind, aber nicht indexiert werden, darunter:

  • Nutzernamen
  • Dateinamen
  • Registrierungsschlüssel
  • Befehlszeilenargumente
  • Rohdaten in Bezug auf HTTP-Anfragen
  • Domainnamen basierend auf regulären Ausdrücken
  • Asset-Namen und -Adressen

So verwenden Sie den Rohprotokollscan in Chronicle:

  1. Geben Sie einen Suchstring in die Suchleiste der Landingpage oder der Menüleiste oben in der Chronicle-Benutzeroberfläche ein. Klicken Sie auf SUCHEN.

    Image Textwert von der Landingpage suchen

  2. Wählen Sie Raw Log Scan aus dem Drop-down-Menü aus.

    Image Menü für die automatische Erkennung der Chronicle-Suche

  3. Chronicle öffnet die Optionen für den Raw-Log-Scan.

    Image Menü mit Suchoptionen im Raw Log Scan

  4. Geben Sie Start und Ende an (standardmäßig 1 Woche) und klicken Sie auf SUCHEN.

  5. Die Rohdaten-Logansicht wird wie unten dargestellt angezeigt.

    Image Standard-Logscan-Ansicht

    Sie können mithilfe von regulären Ausdrücken in Chronle nach Zeichenstrings in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mit Fragmenten von Informationen eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.

    In der Ansicht "Raw Log Scan" sind die folgenden Optionen für das prozedurale Filtern verfügbar:

    • EREIGNISSTYP
    • LOGQUELLE
    • NETZWERKVERBINDUNGSSTATUS
    • TLD

    Image Optionen zum Filtern von Rohdaten in der Scan-Ansicht