Decoder: Syntax der Suchzeichenfolge für search.ini

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

In diesem Thema werden Suchmethoden und die Syntax zur Verwendung im Suchparser vorgestellt. 

Der Suchparser verwendet drei grundlegende Suchmethoden:

  • Schlüsselwort: Durchsuchen eines Streams nach bestimmten Wörtern
  • Pattern: Durchsuchen eines Streams nach Übereinstimmungen mit einem regulären Ausdruck
  • Schlüsselwort+Muster: Durchsuchen eines Streams nach einem regulären Ausdruck, wenn er einen angegebenen Satz von Schlüsselwörtern enthält

Syntax

 Maxrecon=<max_size>Maxsearch=<max_ssearch_length>MatchLimit=<max_matches_per_stream Search Name Services=<service_id_list>Keywords=<keyword_list>|Pattern=<expression>Case=0|1 Proximity=<number_of_bytes>Recon=0|1 Raw=0|1 

Parameter

In diesem Befehl verwendete Parameter:

                           
ParameterBeschreibung
autocheck Behebt automatisch alle Probleme ohne Eingabeaufforderung
header Only Prüft den Header jeder Datei und zeigt ihn an
chatty Zeigt einen Hex-Speicherauszug von jedem Objekt in der Datei (riesige Datenmenge)
dump#-# Gibt ein nullbasiertes Objekt oder einen nullbasierten Objektbereich an, der in hex an die Konsole ausgegeben werden soll

Beispiel

Im Folgenden wird ein Beispiel für den Befehl gezeigt:

Prüft alle NetWitness-Datenbankdateien in der Sammlung „Default“. Wenn Probleme gefunden werden, werden diese beschrieben und Sie gefragt, ob Sie sie beheben möchten.

 dbcheck C:\Documents and Settings\User\My Documents\NetWitness\ Investigations\Default\*.nw* 
Previous Topic:Such-Parser
You are here
Table of Contents > Feed- und Parser-Referenzen > Such-Parser > Syntax der Suchzeichenfolge für search.ini

Attachments

    Outcomes