ログファイルインジケーターの検索
ログファイルからインジケーターを検索するには、[Search]ページの[Log files]タブを選択します。このページにアクセスするには、Data management モードに切り替える必要があります。
スキャンのために Kaspersky CyberTrace に渡すログファイルはいずれも UTF-8 でエンコードする必要があります。ログファイルのエンコードが異なる場合は、これを必ず UTF-8 に変換してください。
![CyberTrace の[Search]→[Indicator]タブ。](loc_log_file_search_new.png)
[Log files]タブ
オブジェクトの検索
1 つ以上のログファイルを指定できます。これらのファイルのインジケーターが検索されます。
ログファイル内のインジケーターを検索するには:
- 検索する必要があるログファイルを選択します。次のいずれかを実行してください:
- [Select files]をクリックしてからログファイルを選択します。
- 色付きの領域にログファイルをドラッグします。
- [Search]をクリックします。
検索結果が[Search report]セクションに表示されます。
フィードをログファイルとして検索に使用しないでください。スキャン結果には大量の一致数が含まれていて、役に立つ情報になりません。
検索結果
検索の実行後、Kaspersky CyberTrace Web は結果を[Search report]セクションに表示します。
[Search report]セクション
検索結果は次のデータからなります:
- 検索結果に関するサマリ情報:
- 処理されたログファイルの数
- 一致したインジケーターの数
- 処理された文字列の数
- カテゴリごとの検知の数
- 一致する上位 100 のインジケーターに関する情報
- 検索結果に関するレポートをダウンロードするためのボタン
一致する上位 100 のインジケーターの項目ごとに、次の情報が表示されます:
- 一致したインジケーターのカテゴリ
- インジケーターに一致したフィードレコードのフィールド
- ログファイル名、および検知されたインジケーターを含む文字列
検知されたインジケーターはその詳細な情報にハイパーリンクされています。
ログファイルにインジケーターの情報がない場合は、そのことに関するメッセージが表示されます。
検索を実行した後で別のタブに切り替えた場合、検索結果は検索リクエスト履歴から得られます。
検索レポートのダウンロード
検索操作の結果に関するレポートをダウンロードすることができます。レポートは csv ファイルです。
レポートをダウンロードするには、
[Download full report]をクリックして、レポートの保存先にするディレクトリを指定します。
検索結果に関する完全なレポートには次のフィールドがあります:
file_name—ログファイルの名前file_line—一致したインジケーターを含むログファイル内の行detected_indicator—一致したインジケーターcategory—一致したインジケーターのカテゴリ- フィードからの背景情報フィールド
検索レポートのファイルはディレクトリ httpsrv に保存されます。管理者(Windows の場合)またはルートユーザー(Linux の場合)だけにこのディレクトリを開く権限があります。
ログファイルからインジケーターを検索するための正規表現
Kaspersky CyberTrace Web はログファイルを解析してインジケーターを見つけるために、Kaspersky CyberTrace サービス設定情報ファイルで定義された正規表現を使用します。正規表現は、http_file_lookup という特別なイベントソースによって指定されます。