Filtrare i dati nella visualizzazione Scansione log non elaborata

La scansione dei log non elaborati consente di esaminare i log non analizzati. Quando esegui una ricerca, Chronicle esamina prima i dati di sicurezza che sono stati importati e analizzati. Se le informazioni che cerchi non sono trovate, puoi utilizzare Scansione log non elaborata per esaminare i log non analizzati. Puoi anche utilizzare espressioni regolari per esaminare più da vicino i log non elaborati.

Utilizza la scansione dei log non elaborati per esaminare gli elementi visualizzati nei log, ma che non sono indicizzati, ad esempio:

  • Nomi utente
  • Nomi file
  • Chiavi del Registro di sistema
  • Argomenti della riga di comando
  • Dati non elaborati relativi alle richieste HTTP
  • Nomi di dominio basati su espressioni regolari
  • Nomi e indirizzi degli asset

Per utilizzare la scansione dei log non elaborati in Chronicle, completa i seguenti passaggi:

  1. Inserisci una stringa di ricerca nella barra di ricerca sulla pagina di destinazione o sulla barra dei menu nella parte superiore dell'interfaccia utente di Chronicle. Fai clic su CERCA.

    immagine Cerca il valore di testo nella pagina di destinazione

  2. Seleziona Scansione log non elaborata dal menu a discesa.

    immagine Menu di rilevamento automatico di Chronicle

  3. Chronicle apre le opzioni di scansione dei log non elaborati.

    immagine Menu opzioni di ricerca di dati non elaborati

  4. Specifica l'ora di inizio e l'ora di fine (il valore predefinito è 1 settimana) e fai clic su CERCA.

  5. Viene mostrata la visualizzazione Scansione log non elaborata, come mostrato di seguito.

    immagine Visualizzazione Scansione log non elaborata

    Puoi utilizzare le espressioni regolari per cercare e trovare corrispondenze di set di stringhe di caratteri all'interno dei dati di sicurezza utilizzando Chronicle. Le espressioni regolari consentono di restringere la ricerca utilizzando, ad esempio, frammenti di informazioni anziché un nome di dominio completo.

    Le seguenti opzioni di filtro procedurale sono disponibili nella visualizzazione Scansione log non elaborata:

    • TIPO DI EVENTO
    • ORIGINE LOG
    • STATO CONNESSIONE RETE
    • Dominio di primo livello

    immagine Opzioni di filtro della visualizzazione di scansione dei log non elaborati