Investigate: Buscar patrones de texto

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

Puede buscar patrones de texto en el conjunto de eventos actual en las vistas Navegar y Eventos. Puede ejecutar una búsqueda de texto por palabra clave o una coincidencia de regex (expresión regular). En la vista Navegar, puede hacer clic en un valor de metadatos, como HTTP, para desglosar a los datos y, a continuación, ingresar una cadena de búsqueda en el campo Buscar para buscar eventos en ese subconjunto de datos. La búsqueda abre una pestaña en la vista Eventos, presenta el desglose y el rango de tiempo hacia delante y muestra los resultados de búsqueda. También puede desglosar a los datos mediante consultas antes de iniciar una búsqueda. Para ejecutar la búsqueda, ingrese una cadena de búsqueda en el cuadro Buscar y presione Intro o haga clic en Buscar.

Búsqueda por palabra clave

La búsqueda de texto proporciona estas funcionalidades:

  • A cada palabra delimitada por un espacio en blanco se le agrega Y para que se encuentren todas las palabras, pero el orden o la ubicación con relación a las otras palabras es irrelevante. Por ejemplo, si busca Mark Albert, tanto Mark como Albert se deben encontrar en la sesión, pero no es necesario que estén juntas o en un orden específico.
  • La palabra O es especial. Si busca Mark OR Albert, se debe encontrar Mark o Albert como coincidencia en la sesión, pero no se requieren ambos.
  • Puede combinar o hacer coincidir Y y O implícitos juntos en la cadena de búsqueda. Un O explícito tiene mayor prioridad que Y implícito (espacio en blanco). En los siguientes ejemplos se hace la misma declaración lógica, que requiere que los términos cheese y dumplings estén presentes en una coincidencia, además de toast o bread:
    cheese toast OR bread dumplings
    cheese AND (toast OR bread) AND dumplings
  • Puede excluir palabras de los resultados de la búsqueda con el operador -. Por ejemplo, la búsqueda de cheese -toast arrojará cualquier resultado que tenga la palabra cheese, a menos que la palabra toast también esté presente.
  • La búsqueda por palabra clave puede coincidir con los metadatos almacenados en los siguientes patrones:
    • Direcciones IPv4 e IPv6. Cualquier término que se puedan reconocer como una dirección IP se convertirán al formato nativo de metadatos, de modo que puede encontrarse en los metadatos indexados.
    • Rangos de IPv4 CIDR. Puede usar la notación CIDR para localizar las direcciones IPv4 dentro de un rango.
    • Registros de fecha y hora. Los registros de fecha y hora se comparan con los metadatos de tiempo nativo y cualquier campo de metadatos de tiempo adicional se almacena con el tipo de tiempo.
    • Números. La función de búsqueda intentará automáticamente identificar los términos de búsqueda decimal y hacerlos coincidir con campos numéricos de datos de metadatos.

Opciones para controlar el comportamiento de la búsqueda

Para acceder al cuadro de búsqueda y a las opciones de búsqueda en las vistas Navegar o Eventos:

  1. Puede ver el campo Buscar eventos en la barra de herramientas.
    This is the Search Events field
    Solución de problemas: Si no puede ver el campo Buscar eventos en la barra de herramientas, haga clic en The Expand icon a la derecha de la barra de herramientas.
  2. Haga clic en el campo Buscar para ver el menú desplegable Opciones de búsqueda.
    This is the Search Options drop-down menu

Las opciones seleccionadas en este cuadro cambiarán la forma en que se ejecuta la búsqueda. El modo de búsqueda predeterminado es usar los índices de búsqueda de palabras clave en metadatos y datos crudos.

Note: Debido a que la casilla de verificación Buscar en índices está seleccionada de forma predeterminada, la búsqueda devuelve resultados en función de los datos que está indexados. Si desea buscar un conjunto de metadatos completo o datos crudos, seleccione estas casillas de verificación y deseleccione la casilla de verificación Buscar en índices. La búsqueda tardará más, pero incluirá un conjunto de datos más completo.

En la siguiente tabla se describen las opciones de búsqueda de Investigation.

                                 
Función Descripción
Buscar en índicesEn primer lugar, busca en los índices antes de escanear los metadatos o los datos crudos. Buscar en el índice es la manera más rápida de buscar palabras clave en un conjunto de datos de gran tamaño. La búsqueda de índice utiliza cualquier índice pertinente presente en la recopilación de datos.

Caution:
- La búsqueda en índices solo devuelve resultados de los datos indexados.
- Las búsquedas de índice no encontrarán coincidencias de subcadena. Si necesita coincidencias de subcadena, desactive esta casilla de verificación y utilice un modo de búsqueda sin índice.

MetadatosBusca en los metadatos. Su patrón de regex o palabra clave se compararán con los metadatos analizados.

RAW (red/registro/terminal)

Busca en el texto de registros o eventos. Cada evento se decodifica y se busca en el contenido coincidencias con el patrón de regex o la palabra clave.
Si selecciona todos los datos sin filtros en un Archiver, el tiempo de ejecución puede ser excesivo y se puede mostrar una advertencia.

Caution: La búsqueda cruda de sesiones de red hace que las sesiones se decodifiquen, lo cual requiere mucho tiempo. Es posible que desee deshabilitar las búsquedas crudas cuando busca recopilaciones solo de red.

No distingue mayúsculas de minúsculasOmite mayúsculas y minúsculas en la búsqueda.
Expresión regularBúsquedas que usan una expresión regular de Perl en lugar de texto. De forma predeterminada, ejecuta una búsqueda de texto. Para ejecutar una búsqueda de expresión regular, seleccione la opción Expresión regular.

Caution:
- Las búsquedas de expresiones regulares pueden ser muy lentas.
- Al combinar las expresiones regulares y las opciones de búsqueda en índices, el patrón de expresión regular se compara con valores de índice únicos en lugar de valores de metadatos. Esto genera resultados con mayor rapidez, pero no es una búsqueda exhaustiva de todos los metadatos o datos crudos.

AplicarConfigura las opciones de búsqueda predeterminadas que se aplicarán a una búsqueda en la vista Navegar y en la vista Eventos. Esto también actualiza las preferencias de Investigation en su perfil (Perfil > Preferencias > pestaña Investigation). Las preferencias se guardan y se aplican de inmediato.
Puede seleccionar opciones de búsqueda para una determinada búsqueda sin cambiar las preferencias de búsqueda predeterminadas.

Sintaxis de búsqueda de expresiones regulares

La búsqueda de una expresión regular utiliza sintaxis de expresión regular de Perl, que se documenta detalladamente en http://perldoc.perl.org/perlre.html.

Búsqueda por palabra clave en texto crudo

El Log Decoder tiene la capacidad de crear un índice de texto crudo para eventos de registro sin analizar. Esta funcionalidad crea elementos de metadatos que forman una indexación de texto completo en los servicios descendentes como Concentrators y Archivers. Cuando se habilita la opción Buscar en índices en las preferencias de búsqueda, la búsqueda utiliza automáticamente el índice de texto. Tenga en cuenta que el índice de texto genera elementos de metadatos que tienen una granularidad gruesa. Por ejemplo, la configuración predeterminada del indexador de texto trunca los términos de texto. Al comparar las coincidencias de índice con datos crudos, el motor de búsqueda encontrará resultados precisos para la búsqueda. Sin embargo, puede mejorar los tiempos de búsqueda si deshabilita la casilla de verificación de la búsqueda cruda. Si lo hace, se devolverá resultados con mayor rapidez, pero es posible que vea falsos positivos en los resultados de la búsqueda.

Ejemplos de búsqueda

Los siguientes ejemplos muestran búsquedas en las vistas Navegar y Eventos.

Búsqueda en la vista Navegar

Para buscar en los datos que se muestran actualmente en la vista Navegar:

  1. Para desglosar a los datos, haga clic en un valor de metadatos, como HTTP, en el panel Navegar.
    This is the HTTPS context menu
  2. Escriba una cadena de búsqueda en el campo Buscar y presione Intro o haga clic en Buscar.
  3. Para borrar el cuadro de búsqueda y volver a la vista Eventos normal, haga clic en X en el cuadro de búsqueda.

Buscar en la vista Eventos

Para buscar en los datos que se muestran actualmente en la vista Eventos:

  1. Escriba una cadena de búsqueda en el cuadro Buscar y presione Intro o haga clic en Buscar.
    Los resultados de búsqueda se muestran en la vista Eventos. Los eventos que coinciden con los criterios de búsqueda se muestran en la cuadrícula de la vista Eventos. En la vista Detalles y en la vista Lista, las coincidencias se resaltan en la columna Detalles. Además, cuando busca RAW, las coincidencias se resaltan en el columna Registros de la vista Registro.
  2. Si desea limitar la búsqueda, cambie la consulta y la hora.
  3. Si desea detener la búsqueda y volver a la vista Eventos, haga clic en Cancelar.
    Se conserva cualquier resultado que se muestre.
  4. Para borrar el cuadro de búsqueda y volver a la vista Eventos normal, haga clic en X en el cuadro de búsqueda.
You are here
Table of Contents > Consulta y realización de acciones en datos en las vistas Navegar y Eventos > Buscar patrones de texto

Attachments

    Outcomes