ログファイルインジケーターの検索
ログファイルからインジケーターを検索するには、[Search]タブ→[Log file]タブの順に選択します。
スキャンのために Kaspersky CyberTrace に渡すログファイルはいずれも UTF-8 でエンコードする必要があります。ログファイルのエンコードが異なる場合は、これを必ず UTF-8 に変換してください。
![CyberTrace の[Search]→[Log file]タブ。](log_file_search.png)
[Log file]タブ
オブジェクトの検索
1 つ以上のログファイルを検索することができます。
ログファイル内のインジケーターを検索するには:
- 検索する必要があるログファイルを選択します。次のいずれかを実行してください:
- [Select files]をクリックしてからログファイルを選択します。
- 色付きの領域にログファイルをドラッグします。
- [Search]をクリックします。
検索結果が[Summary]セクションに表示されます。
フィードをログファイルとして検索に使用しないでください。スキャン結果には大量の一致数が含まれていて、役に立つ情報になりません。
検索結果
検索の実行後、Kaspersky CyberTrace Web は結果を[Summary]セクションに表示します。
![CyberTrace の[Summary]セクション。](log_file_search_result.png)
[Summary]セクション
検索結果は次のデータからなります:
- 検索結果に関するサマリ情報:
- 処理されたログファイルの数
- 検知されたインジケーターの数
- 処理された行の数
- カテゴリごとの検知の数
- 一致する上位 100 のインジケーターに関する情報
- 検索結果に関するレポートをダウンロードするためのリンク
一致する上位 100 のインジケーターの項目ごとに、次の情報が表示されます:
- チェックされたログファイル内の出現数
- ログファイル名、および検知されたインジケーターを含んだ行
3 行まで表示されます。検知されたインジケーターを含んだ行をさらに多く表示するには、[Show first 100 matches]をクリックします。
検知されたインジケーターはその詳細な情報にハイパーリンクされています。
この情報はインジケーターカードの下部の表に表示されます。
- インジケーターに一致したフィードレコードのフィールド
この情報はインジケーターカードの上部に表示されます。
ログファイルにインジケーターの情報がない場合は、そのことに関するメッセージが表示されます。
検索を実行した後で別のタブに切り替えた場合、検索結果は検索リクエスト履歴から得られます。
検索レポートのダウンロード
検索操作の結果に関するレポートをダウンロードすることができます。レポートは csv ファイルです。
レポートをダウンロードするには:
[Download report]リンクを選択し、レポートの保存先にするディレクトリを指定します。
検索結果に関する完全なレポートには次のフィールドがあります:
file_name—ログファイルの名前file_line—検知されたインジケーターを含んだ、ログファイル内の行detected_indicator—検知されたインジケーターcategory—検知されたインジケーターのカテゴリ- フィードからのコンテキストフィールド
検索レポートのファイルはディレクトリ httpsrv に保存されます。管理者(Windows の場合)またはルートユーザー(Linux の場合)だけにこのディレクトリを開く権限があります。
ログファイルからインジケーターを検索するための正規表現
Kaspersky CyberTrace Web はログファイルを解析してインジケーターを見つけるために、Kaspersky CyberTrace サービス設定情報ファイルで定義された正規表現を使用します。正規表現は、http_file_lookup という特別なイベントソースによって指定されます。