未加工ログスキャン ビューでデータをフィルタリング

未加工ログスキャンを使用すると、解析されていない未加工のログを調べることができます。検索を実行すると、Chronicle はまず取り込まれて解析されたセキュリティ データを調べます。探している情報が見つからない場合は、未加工ログスキャンを使用して、解析されていない未加工ログを調べることができます。正規表現を使用して、未加工のログを詳しく調査することもできます。

未加工ログスキャンを使用して、次のような、ログに表示されるているもののインデックスに登録されていないアーティファクトを調査します。

  • ユーザー名
  • ファイル名
  • レジストリキー
  • コマンドライン引数
  • 未加工の HTTP リクエスト関連のデータ
  • 正規表現に基づくドメイン名
  • アセットの名前とアドレス

Chronicle で未加工ログスキャンを使用するには、次の手順を行います。

  1. ランディング ページ、または Chronicle ユーザー インターフェースの上部にあるメニューバーのいずれかの検索バーに検索文字列を入力します。[検索] をクリックします。

    画像 ランディング ページでテキスト値を検索する

  2. プルダウン メニューから [Raw Log Scan] を選択します。

    画像 Chronicle の検索の自動検出メニュー

  3. Chronicle は未加工ログスキャンのオプションを開きます。

    画像 未加工ログスキャンの検索オプション メニュー

  4. [Start Time] と [End Time](デフォルトは 1 週間)を指定し、[SEARCH] をクリックします。

  5. 次に示すように、[Raw Log Scan] ビューが表示されます。

    画像 [Raw Log Scan] ビュー

    正規表現を使用すると、Chronicle を使用してセキュリティ データ内の文字列のセットを検索し、照合できます。正規表現を使用すると、完全なドメイン名を使用するのではなく、情報の断片を使って検索を絞り込むことができます。

    [Raw Log Scan] ビューでは、次の [Procedural Filtering] オプションを使用できます。

    • EVENT TYPE
    • LOG SOURCE
    • NETWORK CONNECTION STATUS
    • TLD

    画像 [Raw Log Scan] ビューのフィルタ オプション