Qradar Incident Forensics User Guide

AND

Two query terms are used to find all

standard web traffic. If web testing

occurs on Port 8080, then it would not

be a match since both query terms

would not be true.

OR

Collection:yahoo* OR

Three query terms are used to limit

the results to results from the Yahoo,

CNN, and MSN document collections

in the forensics repository.

NOT

ServerTcpPort:(80 OR 8080 OR 81)

Searches for traffic with non-standard

port usage. The first query term looks

for standard HTTP traffic and the

second query term eliminates all traffic

that is using accepted HTTP ports.

Chapter 3. Getting started with forensics investigations

Table 3. Boolean operators for query strings (continued)

Download 1,36 Mb.

Do'stlaringiz bilan baham: