在“原始日志扫描”视图中过滤数据

借助原始日志扫描,您可以检查未解析的原始日志。当您执行搜索时,Chronicle 首先会检查已提取和解析的安全数据。如果找不到您要搜索的信息,您可以使用原始日志扫描来检查未解析的原始日志。您还可以使用正则表达式更仔细地检查原始日志。

使用“原始日志扫描”功能来调查日志中有日志但尚未编入索引的工件,具体包括:

  • 用户名
  • 文件名
  • 注册表项
  • 命令行参数
  • 原始 HTTP 请求相关数据
  • 基于正则表达式的域名
  • 资源名称和地址

如需在 Chronicle 中使用 RAW 日志扫描,请完成以下步骤:

  1. 在着陆页或 Chronicle 界面顶部菜单栏中的搜索栏中输入搜索字符串。点击搜索

    图片 从着陆页搜索文本值

  2. 从下拉菜单中选择原始日志扫描

    图片 Chronicle 搜索自动检测菜单

  3. Chronicle 会打开“原始日志扫描”选项。

    图片 “原始日志扫描”搜索选项菜单

  4. 指定开始时间和结束时间(默认为 1 周),然后点击搜索

  5. 此时会显示“原始日志扫描”视图,如下所示。

    图片 “原始日志扫描”视图

    您可以使用正则表达式在 Chronicle 中搜索和匹配安全数据中的字符串集。正则表达式允许您使用信息片段(而不是使用完整的域名等信息)缩小搜索范围。

    “原始日志扫描”视图中提供了以下过程过滤选项:

    • 事件类型
    • 日志源
    • 网络连接状态
    • TLD

    图片 “原始日志扫描”视图过滤选项