Filtra datos en la vista Escaneo de registro sin procesar

El análisis de registros sin procesar te permite examinar tus registros sin analizar sin procesar. Cuando ejecutas una búsqueda, Chronicle examina primero los datos de seguridad que se transfirieron y analizaron. Si no se encuentra la información que buscas, puedes usar Analizar de registro sin procesar para examinar tus registros sin analizar. También puedes usar expresiones regulares para examinar más de cerca los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:

  • Nombres de usuario
  • Nombres de archivos
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con solicitudes HTTP
  • Nombres de dominios basados en expresiones regulares
  • Nombres y direcciones de los elementos

Para usar la búsqueda de registros sin procesar en Chronicle, sigue estos pasos:

  1. Ingresa una string de búsqueda en la barra de búsqueda en la página de destino o en la barra de menú en la parte superior de la interfaz de usuario de Chronicle. Haga clic en BUSCAR.

    imagen Busque el valor de texto de la página de destino

  2. En el menú desplegable, selecciona procesar registros sin procesar.

    imagen Menú de detección automática de la búsqueda de Chronicle

  3. Chronicle abre las opciones de Análisis de registro sin procesar.

    imagen Menú de opciones de búsqueda de registro sin procesar

  4. Especifica la hora de inicio y de finalización (el valor predeterminado es de 1 semana) y haz clic en BUSCAR.

  5. Se mostrará la vista de registro de registro sin procesar, como se muestra a continuación.

    imagen Vista de análisis de registro sin procesar

    Puedes usar expresiones regulares para buscar y hacer coincidir grupos de strings de caracteres dentro de los datos de seguridad con Chronicle. Las expresiones regulares te permiten restringir la búsqueda mediante fragmentos de información, en lugar de usar un nombre de dominio completo, por ejemplo.

    Las siguientes opciones de filtrado de procedimiento están disponibles en la vista de registro de registros sin procesar:

    • TIPO DE EVENTO
    • REGISTRAR FUENTE
    • ESTADO DE CONEXI N DE RED
    • TLD

    imagen Opciones de filtrado de la vista Escaneo de registro sin procesar