Filtraggio dei dati nella visualizzazione Raw Log Scan (Scansione log non elaborati)

La scansione dei log non elaborati consente di esaminare i log non elaborati non analizzati. Quando esegui una ricerca, Chronicle esamina prima i dati di sicurezza che sono stati importati e analizzati. Se le informazioni che stai cercando non vengono trovate, puoi utilizzare la scansione dei log non elaborati per esaminare i log non elaborati non analizzati. Puoi anche utilizzare espressioni regolari per esaminare in modo più approfondito i log non elaborati.

Utilizza la scansione dei log non elaborati per esaminare gli artefatti che vengono visualizzati nei log ma non indicizzati, tra cui:

  • Nomi utente
  • Nomi dei file
  • Chiavi del Registro di sistema
  • Argomenti della riga di comando
  • Dati relativi alle richieste HTTP non elaborate
  • Nomi di dominio basati su espressioni regolari
  • Nomi e indirizzi degli asset

Per utilizzare la scansione dei log non elaborati in Chronicle, completa i seguenti passaggi:

  1. Inserisci una stringa di ricerca nella barra di ricerca sulla pagina di destinazione o nella barra dei menu nella parte superiore dell'interfaccia utente di Chronicle. Fai clic su CERCA.

    immagine Cercare il valore di testo nella pagina di destinazione

  2. Seleziona Scansione log non elaborata dal menu a discesa.

    immagine Menu di rilevamento automatico di Ricerca Chronicle

  3. Chronicle apre le opzioni di Scansione dei log non elaborati.

    immagine Menu delle opzioni di ricerca per l'analisi dei log non elaborati

  4. Specifica l'ora di inizio e l'ora di fine (l'impostazione predefinita è 1 settimana) e fai clic su CERCA.

  5. Viene visualizzata la visualizzazione Scansione log non elaborata, come mostrato di seguito.

    immagine Visualizzazione Scansione log non elaborata

    Puoi utilizzare le espressioni regolari per cercare e abbinare set di stringhe di caratteri all'interno dei dati di sicurezza con Chronicle. Le espressioni regolari consentono di restringere la ricerca utilizzando frammenti di informazioni, invece di utilizzare un nome di dominio completo, ad esempio.

    Nella vista Scansione log non elaborati sono disponibili le seguenti opzioni di filtro procedurale:

    • TIPO DI EVENTO
    • REGISTRA SORGENTE
    • STATO DELLA CONNESSIONE DI RETE
    • dominio di primo livello

    immagine Opzioni di filtro per la visualizzazione dei log non elaborati