Decoder : Syntaxe de chaîne Search search.ini

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Cette rubrique présente les méthodes de recherche et la syntaxe à utiliser dans le parser Search. 

Le parser Search utilise trois méthodes de recherche de base :

  • Mot-clé : Recherche un ensemble de mots spécifique dans un flux.
  • Pattern: Recherche une occurrence d'expression régulière dans un flux.
  • Mot-clé + Modèle : Recherche une expression régulière dans un flux s'il contient un ensemble de mots-clés.

Syntaxe

 Maxrecon=<max_size>Maxsearch=<max_ssearch_length>MatchLimit=<max_matches_per_stream Search Name Services=<service_id_list>Keywords=<keyword_list>|Pattern=<expression>Case=0|1 Proximity=<number_of_bytes>Recon=0|1 Raw=0|1 

Paramètres

Paramètres utilisés dans cette commande :

                           
ParamètreDescription
autocheck Corrige automatiquement tous les problèmes en mode sans invite
header Only Vérifie/affiche l'en-tête de chaque fichier
chatty Affiche un vidage hexadécimal de chaque objet du fichier (quantité importante de données)
dump#-# Indique à un objet ou une plage d'objets de base zéro du fichier de sortir en hexadécimal sur la console

Exemple 

Voici un exemple de la commande :

Vérifier tous les fichiers de la base de données NetWitness situés dans la collection nommée Default. Si des problèmes sont trouvés, la commande décrira le problème et vous demandera si vous souhaitez le corriger.

 dbcheck C:\Documents and Settings\User\My Documents\NetWitness\ Investigations\Default\*.nw* 
Previous Topic:Parser Search
You are here
Table of Contents > Références de feed et d’analyseur > Parser Search > Syntaxe de chaîne Search search.ini

Attachments

    Outcomes