Este documento oferece uma vista geral de como os dados são extraídos automaticamente para melhorar a capacidade de carregar, processar e analisar dados.
O Google Security Operations usa analisadores predefinidos
para extrair e estruturar dados de registo através do esquema do modelo de dados unificado (UDM). A gestão e a manutenção destes analisadores podem ser difíceis devido a várias limitações: extração de dados incompleta, o número crescente de analisadores a gerir e o requisito de atualizações frequentes à medida que os formatos de registos evoluem.
Para resolver estes desafios, pode usar a funcionalidade de extração automática. Esta funcionalidade extrai automaticamente pares de chave-valor de registos formatados em JSON carregados no Google SecOps. Também suporta registos no formato Syslog que incluem uma mensagem JSON. Estes dados extraídos são armazenados num campo do tipo de mapa da UDM denominado extracted. Em seguida, pode usar estes dados em consultas de pesquisa da UDM, painéis de controlo nativos e regras YARA-L.
Como prática recomendada, as pesquisas UDM que usam campos extraídos têm de incluir metadata.log_type
na respetiva consulta para melhorar o desempenho da consulta de pesquisa.
A vantagem da extração automática é a menor dependência de analisadores, o que garante que os dados permanecem disponíveis, mesmo quando um analisador não está presente ou não consegue analisar um registo.
Analise e extraia dados do registo não processado
Análise: o Google SecOps tenta analisar os registos através de um analisador específico do tipo de registo, se disponível. Se não existir um analisador específico ou se a análise falhar, o Google SecOps usa um analisador geral para extrair informações básicas, como a data/hora de carregamento, o tipo de registo e as etiquetas de metadados.
Extração de dados: todos os pontos de dados são extraídos automaticamente dos registos.
Enriquecimento de eventos: o SecOps da Google combina os dados analisados e quaisquer campos formatados de forma personalizada para criar eventos enriquecidos, fornecendo mais contexto e detalhes.
Transferência de dados a jusante: estes eventos enriquecidos são, em seguida, enviados para outros sistemas para análise e processamento adicionais.
Trabalhe com extratores
Os extratores permitem-lhe extrair campos de origens de registos de elevado volume e foram concebidos para otimizar a gestão de registos. Ao usar extratores, pode reduzir o tamanho dos eventos,
melhorar a eficiência da análise e ter um melhor controlo sobre a extração de dados.
Isto é particularmente útil para gerir novos tipos de registos ou minimizar o tempo de processamento.
Pode criar extratores através do menu Definições do SIEM ou realizando uma pesquisa de registos não processados.
Crie extratores
Aceda ao painel Extrair campos adicionais através de um dos seguintes métodos:
Clique em Definições do SIEM > Analisadores e faça o seguinte:
Na tabela ANALISADORES apresentada, identifique um analisador (origem do registo)
e clique em more_vertMenu >
Estender analisador > Extrair campos adicionais.
No separador EVENTOS nos resultados da pesquisa da UDM, selecione uma origem de registo para
ver o painel do Visualizador de eventos.
No separador Registo não processado, clique em Gerir analisador > Estender analisador >
Extrair campos adicionais.
No separador Selecionar extratores no painel Extrair campos adicionais,
selecione os campos de registo não processados necessários. Por predefinição, pode selecionar até 100 campos.
Se não estiverem disponíveis campos adicionais para extração, é apresentado um aviso.
Clique no separador Referência do registo não processado para ver os dados do registo não processado e pré-visualizar
o resultado da UDM.
Clique em Guardar.
O extrator recém-criado é etiquetado como EXTRACTOR.
Os campos extraídos são apresentados no resultado do UDM comoextracted.field{"fieldName"}.
Veja os detalhes do extrator
Aceda à linha do extrator na tabela ANALISADORES e clique em more_vertMenu > Estender analisador > Ver extensão.
Na página VER ANALISADORES PERSONALIZADOS, clique no separador Extensões e campos extraídos.
Este separador apresenta informações sobre extensões de análise e campos de extrator.
Pode modificar ou remover campos e pré-visualizar o resultado da análise do analisador a partir da página VER ANALISADORES PERSONALIZADOS.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-20 UTC."],[[["\u003cp\u003eAuto extraction is a feature in Google SecOps that automatically extracts key-value pairs from JSON-formatted logs, storing them in a UDM map-type field called \u003ccode\u003eextracted\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eThis feature reduces reliance on prebuilt parsers and ensures data availability even when a specific parser is absent or fails.\u003c/p\u003e\n"],["\u003cp\u003eAuto extraction enhances the ability to ingest, process, and analyze data, which is then searchable through UDM queries, Preview Dashboards, and YARA-L rules.\u003c/p\u003e\n"],["\u003cp\u003eUDM searches using extracted fields should include \u003ccode\u003emetadata.log_type\u003c/code\u003e to optimize search query performance.\u003c/p\u003e\n"],["\u003cp\u003eThe process includes parsing logs, extracting data, enriching events with parsed and custom fields, and then transferring this data downstream for analysis.\u003c/p\u003e\n"]]],[],null,["# Auto Extraction overview\n========================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document provides an overview of how data is automatically extracted to\nenhance the ability to ingest, process, and analyze data.\n\nGoogle Security Operations uses [prebuilt parsers](/chronicle/docs/ingestion/parser-list/supported-default-parsers)\nto extract and structure log data using the Unified Data Model (UDM) schema. Managing and\nmaintaining these parsers can be challenging due to several limitations: incomplete\ndata extraction, the growing number of parsers to manage, and the requirement for\nfrequent updates as log formats evolve.\n\nTo address these challenges, you can use the auto extraction\nfeature. This feature automatically extracts key-value pairs from JSON-formatted\nand XML-formatted logs ingested into Google SecOps. It also supports Syslog-formatted\nlogs that include a JSON message. This extracted data is stored in a UDM, map-type\nfield called `extracted`. You can then use this data within UDM search queries,\n[Native Dashboards](/chronicle/docs/reports/native-dashboards), and YARA-L\nrules.\n\nAs a best practice, the UDM searches using extracted fields must include `metadata.log_type`\nin their query to improve search query performance.\n\nThe benefit of auto extraction is reduced reliance on parsers, ensuring that data\nremains available, even when a parser is not present or fails to parse a log.\n| **Note:** This feature is being rolled out in phases, so some eligible log sources may not yet show extracted fields.\n\nParse and extract data from the raw log\n---------------------------------------\n\n1. **Parsing**: Google SecOps attempts to parse logs using a parser\n specific to the log type, if available. If no specific parser exists, or if parsing\n fails, Google SecOps uses a general parser to extract basic information like\n ingested timestamp, log type, and metadata labels.\n\n2. **Data Extraction**: All data points are automatically extracted from the logs.\n\n3. **Event Enrichment**: Google SecOps combines the parsed data and any\n custom-formatted fields to create enriched events, providing more context and detail.\n\n4. **Downstream Data Transfer**: These enriched events are then sent to other\n systems for further analysis and processing.\n\nWork with extractors\n--------------------\n\nExtractors let you extract fields from high-volume log sources, and are designed\nto optimize log management. By using extractors, you can reduce event size,\nenhance parsing efficiency, and gain better control over data extraction.\nThis is especially useful for managing new log types or minimizing processing\ntime.\n\nYou can create extractors using the **SIEM Settings** menu or by performing a\nraw log search.\n\n### Create extractors\n\n1. Go to the **Extract Additional Fields** pane using either of the following\n methods:\n\n - Click **SIEM Settings** \\\u003e **Parsers** , and do the following:\n 1. In the **PARSERS** table that appears, identify a parser (log source) and click more_vert **Menu** \\\u003e **Extend Parser** \\\u003e **Extract Additional Fields**.\n - Use [Raw Log Scan](/chronicle/docs/investigation/search-raw-logs) and do the following:\n 1. Select the required log sources (parsers) from the **Log Sources** menu.\n 2. From the raw log results, select a log source to open the **EVENT DATA** pane.\n 3. In the **EVENT DATA** pane, click **Manage Parser** \\\u003e **Extend Parser** \\\u003e **Extract Additional Fields**.\n - Use [UDM search](/chronicle/docs/investigation/udm-search#access_search) and do the following:\n 1. On the **EVENTS** tab in the UDM search results, select a log source to view the **Event Viewer** pane.\n 2. On the **Raw Log** tab, click **Manage Parser** \\\u003e **Extend Parser** \\\u003e **Extract Additional Fields**.\n2. On the **Select Extractors** tab in the **Extract Additional fields** pane,\n select the required raw log fields. By default, you can select up to 100 fields.\n If no additional fields are available for extraction, a warning notice displays.\n\n Click the **Reference Raw Log** tab to view the raw log data and preview\n the UDM output.\n3. Click **Save**.\n\nThe newly created extractor is labeled as `EXTRACTOR`.\nExtracted fields are displayed in the UDM output as`extracted.field{\"fieldName\"}`.\n| **Note:** For certain low-volume log types, auto extraction is enabled by default, and all fields are extracted automatically. These log types aren't labeled with the `EXTRACTOR` tag. If you try to extract additional fields, the system displays a message indicating that all fields are already being extracted and no further selection is needed.\n\n### View extractor details\n\n1. Go to the extractor row in the **PARSERS** table and click more_vert **Menu** \\\u003e **Extend Parser** \\\u003e **View Extension**.\n2. On the **VIEW CUSTOM PARSERS** page, click the **Extensions and Extracted Fields** tab.\n\nThis tab displays information on parser extensions and extractor fields.\nYou can modify or remove fields and preview the parser output from the **VIEW CUSTOM PARSERS**\npage.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
