Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Filtrar datos en la vista Raw Log Scan

El análisis de registros sin procesar te permite examinar los registros sin analizar. Cuando ejecutas una búsqueda, Chronicle primero examina los datos de seguridad que se transfirieron y analizaron. Si no se encuentra la información que buscas, puedes usar el análisis de registros sin procesar para examinar los registros sin analizar. También puedes usar expresiones regulares para examinar más de cerca los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:

  • Nombres de usuario
  • Nombres de archivos
  • Claves de registro
  • Argumentos de la línea de comandos
  • Datos relacionados con la solicitud HTTP sin procesar
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de elementos

Para usar el análisis de registros sin procesar en Chronicle, completa los siguientes pasos:

  1. Ingresa una string en la barra de búsqueda, ya sea en la página de destino o en la barra de menú en la parte superior de la interfaz de usuario de Chronicle. Haga clic en BUSCAR.

    imagen Busque el valor del texto en la página de destino

  2. Selecciona Raw Log Scan del análisis desplegable.

    imagen Menú de detección automática de búsqueda de cronic

  3. Chronicle abre las opciones de búsqueda de registros sin procesar.

    imagen Menú de opciones de búsqueda de análisis de registros sin procesar

  4. Especifica la hora de inicio y la hora de finalización (la opción predeterminada es 1 semana) y haz clic en BUSCAR.

  5. Se muestra la vista de análisis de registros sin procesar, como se muestra a continuación.

    imagenVista de análisis de registros sin procesar

    Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de strings de caracteres en tus datos de seguridad con Chronicle. Las expresiones regulares te permiten limitar la búsqueda mediante fragmentos de información, en lugar de usar un nombre de dominio completo, por ejemplo.

    Las siguientes opciones de filtrado de procedimientos están disponibles en la vista de análisis de registros sin procesar:

    • TIPO DE EVENTO
    • FUENTE DE REGISTRO
    • ESTADO DE CONEXIÓN DE LA RED
    • TLD

    imagenOpciones de filtrado de la vista de análisis de registros sin procesar