Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Filtrer les données dans la vue d'analyse des journaux bruts

L'analyse brute des journaux vous permet d'examiner vos journaux bruts non analysés. Lorsque vous exécutez une recherche, Chronicle examine d'abord les données de sécurité qui ont été ingérées et analysées. Si les informations que vous recherchez sont introuvables, vous pouvez utiliser l'analyse brute des journaux pour examiner vos journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner les journaux bruts de plus près.

Utilisez l'analyse brute des journaux pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés, y compris:

  • Noms d'utilisateur
  • Noms de fichiers
  • Clés de registre
  • Arguments de ligne de commande
  • Données brutes liées aux requêtes HTTP
  • Noms de domaine basés sur des expressions régulières
  • Noms et adresses des éléments

Pour utiliser l'analyse des journaux bruts dans Chronicle, procédez comme suit:

  1. Saisissez une chaîne de recherche dans la barre de recherche de la page de destination ou de la barre de menu en haut de l'interface utilisateur Chronicle. Cliquez sur RECHERCHER.

    Image Rechercher une valeur textuelle à partir de la page de destination

  2. Sélectionnez Analyser les journaux bruts dans le menu déroulant.

    Image Menu de détection automatique de la recherche Chronicle

  3. Chronicle ouvre les options d'analyse de journaux bruts.

    Image Menu d'options de recherche pour l'analyse brute des journaux

  4. Spécifiez les heures de début et de fin (une semaine par défaut), puis cliquez sur RECHERCHER.

  5. La vue Numérisation des journaux s'affiche, comme illustré ci-dessous.

    Image Affichage brut des journaux

    Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Chronicle. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, par opposition à un nom de domaine complet.

    Les options de filtrage procédural suivantes sont disponibles dans la vue d'analyse des journaux bruts:

    • TYPE D'ÉVÉNEMENT
    • ENREGISTRER LA SOURCE
    • ÉTAT DE LA CONNEXION RÉSEAU
    • TLD

    Image Options de filtrage en vue de l'analyse brute des journaux