Decoder:search.iniの検索文字列の構文

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Search Parserで使用できる検索方式と構文について説明します。 

Search Parserでは、3つの基本的な検索方式を使用できます。

  • Keyword: 特定のキーワード セットについてストリームを検索する
  • Pattern: 正規表現を使用してストリームを検索する
  • Keyword+Pattern:指定したキーワード セットのいずれかを含む正規表現についてストリームを検索する

構文

 Maxrecon=<max_size>Maxsearch=<max_ssearch_length>MatchLimit=<max_matches_per_stream Search Name Services=<service_id_list>Keywords=<keyword_list>|Pattern=<expression>Case=0|1 Proximity=<number_of_bytes>Recon=0|1 Raw=0|1 

パラメータ

このコマンドで使用されるパラメータ:
 

                         
パラメータ説明
autocheck確認メッセージなしですべての問題を自動的に修正します。
header Only各ファイルのヘッダをチェック/表示します。
chattyファイル内のすべてのオブジェクトの16進ダンプを表示します(大量のデータ)。
dump#-#コンソールに16進数で出力される、ファイル内の0から始まるオブジェクトまたはオブジェクト範囲を表示します。

以下に、コマンドの例を示します。

「Default」という名前のコレクション内にあるすべてのNetWitness Databaseファイルをチェックするコマンドです。問題が検出されると、問題の説明が表示され、修正するかどうかが尋ねられます。

 dbcheck C:\Documents and Settings\User\My Documents\NetWitness\ Investigations\Default\*.nw* 
Previous Topic:Search Parser
You are here
Table of Contents > 参考資料 > [サービス]の[構成]ビュー:[ファイル]タブ > Search Parser > search.iniの検索文字列の構文

Attachments

    Outcomes