Поиск индикаторов в файлах журналов
Для поиска индикаторов в файлах журналов необходимо выбрать вкладку Файлы журналов на странице Поиск. Для работы с этой страницей необходимо перейти в режим Управление данными.
Все файлы журналов, передаваемые в Kaspersky CyberTrace для проверки, должны быть в кодировке UTF-8. Если файлы журналов имеют другую кодировку, необходимо преобразовать их в кодировку UTF-8.
Вкладка Файлы журналов
Поиск объектов
Можно указать один или несколько файлов журналов. Поиск выполняется по индикаторам, входящим в эти файлы.
Для поиска индикаторов в файлах журналов выполните следующие действия:
- Выберите файлы журналов, в которых требуется выполнить поиск. Выполните одно из следующих действий:
- Нажмите на кнопку Выберите файлы, затем выберите файлы журналов.
- Перетащите файлы журналов в цветную область.
- Нажмите на кнопку Найти.
Результат поиска отображается в разделе Результаты поиска.
Не следует использовать потоки данных об угрозах в качестве файлов журналов для поиска. Результаты проверки будут содержать большое количество совпадений, что сделает результаты неинформативными.
Результат поиска
После выполнения поиска результаты отображаются в веб-интерфейсе Kaspersky CyberTrace в разделе Результаты поиска.
Раздел Результаты поиска
Результат поиска включает в себя следующие данные:
- Сводная информация о результатах поиска:
- Количество обработанных файлов журналов
- Количество совпавших индикаторов
- Количество обработанных строк
- Количество совпадений по каждой категории
- Информация о топ-100 совпавших индикаторах
- Кнопка для загрузки отчета о результатах поиска
По каждой позиции из топ-100 совпавших индикаторов отображается следующая информация:
- Категория совпавшего индикатора
- Поля записей потока данных об угрозах, совпавших с индикатором
- Имя файла журналов и строки, содержащие обнаруженный индикатор
Обнаруженный индикатор снабжается гиперссылкой на подробную информацию о нем.
Если информация об индикаторах не найдена в файле журнала, отображается сообщение об этом.
Если после запуска поиска перейти на другую вкладку, результаты поиска добавляются в историю поисковых запросов.
Загрузка отчетов о поиске
Отчет с результатами операции поиска можно скачать. Отчет представляет собой файл .csv.
Чтобы скачать отчет, выполните следующие действия:
Нажмите на кнопку Скачать полный отчет и в случае запроса укажите каталог, в который требуется сохранить отчет.
Полный отчет о результатах поиска содержит следующие поля:
file_name— имя файла журналаfile_line— строка в файле журнала, содержащая совпавший индикаторdetected_indicator— совпавший индикаторcategory— категория совпавшего индикатора- Поля контекста из потока данных об угрозах
Файлы с отчетами о поиске хранятся в каталоге httpsrv. Открывать этот каталог имеет право только администратор (в Windows) или пользователь root (в Linux).
Регулярные выражения для поиска индикаторов в файлах журналов
Для парсинга файлов журналов для поиска индикаторов в веб-интерфейсе Kaspersky CyberTrace используются регулярные выражения, определенные в конфигурационном файле Kaspersky CyberTrace Service. Регулярные выражения задаются специальным источником событий с именем http_file_lookup.