Decoder: Syntax der Suchzeichenfolge für search.ini

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

In diesem Thema werden Suchmethoden und die Syntax zur Verwendung im Suchparser vorgestellt. 

Der Suchparser verwendet drei grundlegende Suchmethoden:

  • Schlüsselwort: Durchsuchen eines Streams nach bestimmten Wörtern
  • Pattern: Durchsuchen eines Streams nach Übereinstimmungen mit einem regulären Ausdruck
  • Schlüsselwort+Muster: Durchsuchen eines Streams nach einem regulären Ausdruck, wenn er einen angegebenen Satz von Schlüsselwörtern enthält

Syntax

 Maxrecon=<max_size>Maxsearch=<max_ssearch_length>MatchLimit=<max_matches_per_stream Search Name Services=<service_id_list>Keywords=<keyword_list>|Pattern=<expression>Case=0|1 Proximity=<number_of_bytes>Recon=0|1 Raw=0|1

Parameter

In diesem Befehl verwendete Parameter:

                         
ParameterBeschreibung
autocheck Behebt automatisch alle Probleme ohne Eingabeaufforderung
header Only Prüft den Header jeder Datei und zeigt ihn an
chatty Zeigt einen Hex-Speicherauszug von jedem Objekt in der Datei (riesige Datenmenge)
dump#-# Gibt ein nullbasiertes Objekt oder einen nullbasierten Objektbereich an, der in hex an die Konsole ausgegeben werden soll

Beispiel

Im Folgenden wird ein Beispiel für den Befehl gezeigt:

Prüft alle NetWitness-Datenbankdateien in der Sammlung „Default“. Wenn Probleme gefunden werden, werden diese beschrieben und Sie gefragt, ob Sie sie beheben möchten. 

 dbcheck C:\Documents and Settings\User\My Documents\NetWitness\ Investigations\Default\*.nw*
Previous Topic:Parser durchsuchen
You are here
Table of Contents > Feed- und Parser-Referenzen > Parser durchsuchen > Syntax der Suchzeichenfolge für search.ini

Attachments

    Outcomes