Filtrer les données dans la vue "Analyse du journal brut"

L'analyse des journaux bruts vous permet d'examiner vos journaux bruts non analysés. Lorsque vous exécutez une recherche, Chronicle examine d'abord les données de sécurité qui ont été ingérées et analysées. Si les informations que vous recherchez sont introuvables, vous pouvez utiliser la fonction d'analyse des journaux bruts pour examiner vos journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner de plus près les journaux bruts.

Utilisez le fichier Raw Log Scan pour rechercher les artefacts qui apparaissent dans les journaux, mais ne sont pas indexés. Exemples:

  • Noms d'utilisateur
  • Noms de fichiers
  • Clés de registre
  • Arguments de ligne de commande
  • Données brutes liées aux requêtes HTTP
  • Noms de domaine basés sur des expressions régulières
  • Noms et adresses d'élément

Pour utiliser l'analyse des journaux bruts dans Chronicle, procédez comme suit:

  1. Saisissez une chaîne de recherche dans la barre de recherche, sur la page de destination ou sur la barre de menu située en haut de l'interface utilisateur Chronicle. Cliquez sur SEARCH (RECHERCHER).

    image Rechercher une valeur textuelle à partir de la page de destination

  2. Sélectionnez Analyse de journaux bruts dans le menu déroulant.

    image Menu "Détection automatique de la recherche Chronicle"

  3. Chronicle ouvre les options "Analyse des journaux bruts".

    image Menu d'options de recherche de l'analyse des journaux bruts

  4. Spécifiez les heures de début et de fin (la valeur par défaut est d'une semaine), puis cliquez sur RECHERCHER.

  5. La vue "Analyse du journal brut" s'affiche, comme illustré ci-dessous.

    image Affichage de l'analyse des journaux bruts

    Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Chronicle. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, par opposition à l'utilisation d'un nom de domaine complet, par exemple.

    Les options suivantes de filtrage procédural sont disponibles dans la vue "Analyse de journaux bruts" :

    • TYPE D'ÉVÉNEMENT
    • SOURCE DE JOURNAUX
    • ÉTAT DE CONNEXION RÉSEAU
    • TLD

    image Options de filtrage de la vue "Analyse du journal brut"