Filtra datos en la vista de análisis de registros sin procesar

El análisis de registros sin procesar te permite examinar los registros sin analizar sin procesar. Cuando ejecutas una búsqueda, Chronicle examina primero los datos de seguridad que se transfirieron y analizaron. Si no se encuentra la información que buscas, puedes usar el análisis de registros sin procesar para examinar tus registros sin analizar. También puedes usar expresiones regulares para examinar más detalladamente los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:

  • Nombres de usuario
  • Nombres de archivo
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con las solicitudes HTTP
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de los elementos

Para usar Raw Log Scan en Chronicle, completa los siguientes pasos:

  1. Ingresa una string de búsqueda en la barra de búsqueda, ya sea en la página de destino o en la barra de menú en la parte superior de la interfaz de usuario de Chronicle. Haga clic en BUSCAR.

    imagen Busque el valor del texto de la página de destino

  2. Selecciona Raw Log Scan en el menú desplegable.

    imagen Menú de detección automática de la búsqueda de Chronicle

  3. Chronicle abre las opciones de análisis de registros sin procesar.

    imagen Menú de opciones de búsqueda de Registro sin procesar

  4. Especifica la hora de inicio y de finalización (el valor predeterminado es de 1 semana) y haz clic en BUSCAR.

  5. Se mostrará la vista de análisis de registros sin procesar, como se muestra a continuación.

    imagen Vista de análisis de registro sin procesar

    Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de strings de caracteres dentro de tus datos de seguridad con Chronicle. Las expresiones regulares te permiten acotar la búsqueda usando fragmentos de información, en lugar de usar un nombre de dominio completo, por ejemplo.

    Las siguientes opciones de filtrado de procedimiento están disponibles en la vista de análisis de registros sin procesar:

    • TIPO DE EVENTO
    • REGISTRAR FUENTE
    • ESTADO DE CONEXI N DE RED
    • TLD

    imagen Opciones de filtrado de la vista de registro sin procesar