Filtrar datos en la vista Raw Log Scan

El análisis de registros sin procesar te permite examinar tus registros sin analizar y sin analizar. Cuando ejecutas una búsqueda, Chronicle primero examina los datos de seguridad que se transfirieron y analizaron. Si no se encuentra la información que buscas, puedes usar el análisis de registros sin procesar para examinar tus registros sin analizar sin procesar. También puedes usar expresiones regulares para examinar más de cerca los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero no están indexados, por ejemplo:

  • Nombres de usuario
  • Nombres del archivo
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con solicitudes HTTP
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de los recursos

Para usar el análisis de registros sin procesar en Chronicle, completa los siguientes pasos:

  1. Ingresa una cadena de búsqueda en la barra de búsqueda de la página de destino o en la barra de menú ubicada en la parte superior de la interfaz de usuario de Chronicle. Haga clic en BUSCAR.

    imagen Busca el valor de texto de la página de destino

  2. Selecciona Análisis de registros sin procesar en el menú desplegable.

    imagen Menú de detección automática de la búsqueda de Chronicle

  3. Chronicle abrirá las opciones de análisis de registros sin procesar.

    imagen Menú de opciones de búsqueda del Análisis de registros sin procesar

  4. Especifica la hora de inicio y la hora de finalización (el valor predeterminado es de 1 semana) y haz clic en BUSCAR.

  5. Se muestra la vista de análisis de registros sin procesar, como se indica a continuación.

    imagen Vista de análisis de registros sin procesar

    Puedes usar expresiones regulares para buscar conjuntos de cadenas de caracteres y hacer coincidir conjuntos de cadenas de caracteres dentro de tus datos de seguridad con Chronicle. Las expresiones regulares te permiten acotar la búsqueda mediante fragmentos de información, en lugar de, por ejemplo, usar un nombre de dominio completo.

    Las siguientes opciones de filtrado de procedimientos están disponibles en la vista de análisis de registros sin procesar:

    • TIPO DE EVENTO
    • FUENTE DE REGISTRO
    • ESTADO DE CONEXIÓN DE RED
    • TLD

    imagen Opciones de filtrado de la vista de análisis de registros sin procesar