管理预构建和自定义解析器
本文档介绍了如何: 本文档介绍了如何:
- 创建和管理自定义解析器。
- 抢先体验 Google Security Operations 即将推出的预构建解析器更新。
- 通过为预构建或自定义解析器创建解析器扩展程序来扩展映射说明。
- 控制对解析器管理的访问权限。
- 创建和管理自定义解析器。
- 抢先体验 Google Security Operations 即将推出的预构建解析器更新。
- 通过为预构建或自定义解析器创建解析器扩展程序来扩展映射说明。
- 控制对解析器管理的访问权限。
| 解析器类型 | 说明 |
|---|---|
| 预构建 | 由 Google 安全运维团队创建的解析器,包含用于将原始日志数据转换为 [UDM](/chronicle/docs/event-processing/udm-overview) 字段的内置数据映射说明。 |
| 预构建版本已延期 | 客户创建的预构建解析器,包含额外的映射说明,用于从原始原始日志中提取其他数据并将其插入 UDM 记录。 |
| 自定义 | 客户使用自定义数据映射说明创建的解析器,用于将原始日志数据转换为 UDM 字段。 |
| 自定义扩展 | 客户创建的自定义解析器,其中包含使用解析器扩展程序提供的额外映射说明,用于从原始原始日志中提取其他数据并将其插入 UDM 记录。 |
管理预构建解析器更新
管理预构建解析器更新
Google 安全运营团队通常会在每月第四周更新预构建的解析器。这些更新会先提供给客户抢先体验和测试。当即将发布的解析器更新可用时,它们会在解析器列表中标记为待处理更新。您可以检查旧版解析器和新版解析器之间的差异,也可以提前启用解析器更新以对其进行测试,或者跳过更新并创建自定义解析器。Google 安全运营团队通常会在每月第四周更新预构建的解析器。这些更新会先提供给客户抢先体验和测试。当即将发布的解析器更新可用时,它们会在解析器列表中标记为待处理更新。您可以检查旧版解析器与新版解析器之间的差异,也可以提前启用解析器更新以对其进行测试,或者跳过更新并创建自定义解析器。
如需查看待处理的更新,请执行以下操作:
登录您的 Google Security Operations 实例。
在 应用菜单中,依次选择设置 > 解析器。
点击 过滤。
从列表中选择预构建、有效和预构建(扩展)。
系统会显示活跃(默认)预构建解析器的列表。即将推出的解析器更新会在更新列中标记为待处理。
点击 Menu(菜单),然后从列表中选择 View pending update(查看待处理的更新)。
系统随即会显示比较解析器页面。您可以在此处查看以下内容:
当前解析器版本与即将发布的解析器版本之间的代码差异。
更新日志标签页中的更新日志。
为所采样原始日志生成的 UDM 事件。
解析器的创建日期和时间。
上次更新解析器代码的日期和时间。
您可以提前启用解析器更新、跳过更新并创建自定义解析器,也可以等待系统在当月第四周自动应用更新。
让解析器提前启用更新
借助解析器管理功能,您可以提前启用解析器更新。例如,如果您想对其进行测试。
如需让解析器提前启用更新,请按以下步骤操作:
在比较解析器页面上,点击启用解析器更新。
系统会显示确认解析器更新对话框。
点击确认。
解析器会在 20 分钟后激活以执行规范化流程。
跳过预构建解析器更新
如需跳过当前和未来的预构建解析器更新,请按如下方式创建自定义解析器:
在比较解析器页面上,点击跳过更新。
系统随即会显示跳过更新并创建自定义解析器窗口。
点击创建自定义解析器。
对于要开始使用的解析器类型,请选择当前的预构建解析器或待处理的解析器更新。
点击创建。
所选版本会在 20 分钟后启用以进行标准化流程。它在解析器页面的解析器列表中显示为自定义和有效。较早的预构建版本显示为预构建和无效。
还原预构建解析器的早期更新
如果您提前启用了解析器更新,则仍可在该月的第四周(系统会自动启用更新)之前还原为旧版本。
如需切换回之前的解析器版本,请按以下步骤操作:
在 应用菜单中,依次选择设置 > 解析器。
针对要还原的解析器,点击 Menu。
点击查看。
系统随即会显示查看预构建的解析器页面。
点击还原为上一个版本。
系统随即会显示还原为上一个对话框。您可以点击该对话框中的比较解析器,查看当前版本与上一个版本之间的差异。
点击确认,将解析器还原为其先前版本。
解析器会在 20 分钟后还原为之前的版本。
自定义解析器
出于多种原因,Google Security Operations 提供了灵活的定制解析器创建方式,包括:
- 为没有预构建解析器的日志类型创建自定义解析器。直接从原始日志创建全新的解析器,或使用现有解析器作为新自定义解析器的基础。
- 您可以创建自定义解析器,以跳过预构建解析器更新。
自定义解析器会显示在解析器列表中。
根据映射说明创建自定义解析器
您可以编写代码来将原始原始日志转换为 UDM 记录,从而创建自定义解析器。如需了解解析器的结构,请参阅日志解析概览;如需了解语法,请参阅解析器语法参考文档。创建解析器时,请确保数据映射说明填充尽可能多的重要 UDM 字段。
- 前往 SIEM Settings(SIEM 设置)。
前往 SIEM Settings(SIEM 设置)。
点击创建解析器。
从 Log Source(日志来源)列表中选择适当的日志来源。
选择仅从原始日志开始,以根据您的要求创建新的解析器。
点击创建。
在解析器代码终端中输入代码。如需了解详情,请参阅创建代码段映射指令。
在解析器代码终端中输入代码。如需了解详情,请参阅创建代码段映射指令。
可选:点击 可修改现有原始日志或副本。
可选:点击 以加载最新的原始日志。
点击预览以查看 UDM 输出。如果代码不正确,系统会显示错误消息。
在预览版中,您可以使用 statedump 过滤器插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证过程可能需要几分钟时间,因此我们建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交。
解析器会在 20 分钟后启用以执行规范化流程。解析器会在 20 分钟后激活以执行规范化流程。
基于现有解析器创建自定义解析器
基于现有解析器创建自定义解析器
您可以使用现有解析器作为模板来创建新的解析器。您只能使用代码方法创建自定义解析器。如需根据现有解析器创建自定义解析器,请按以下步骤操作:
在 应用菜单中,依次选择设置 > 解析器。
点击创建解析器。
从 Log Source(日志来源)列表中选择适当的日志来源。
选择从现有的预构建解析器开始,以使用现有解析器为基础创建新的自定义解析器。
点击创建。
在解析器代码终端中修改代码。如需了解详情,请参阅创建代码段映射指令。
可选:点击 可修改原始日志。
可选:点击 以刷新原始日志。
在添加代码以构建解析器时,点击预览以查看 UDM 输出。如果代码不正确,系统会显示错误消息。
在预览版中,您可以使用 statedump 过滤器插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证过程可能需要几分钟时间,因此建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交。
解析器会在 20 分钟后启用以执行标准化流程。解析器会在 20 分钟后激活以执行规范化流程。
使自定义解析器处于非活动状态
在 应用菜单中,依次选择设置 > 解析器。
针对要停用的解析器点击 Menu(菜单),然后从列表中选择 Make inactive(停用)。
系统会显示使解析器处于非活动状态对话框。
点击设为无效。
自定义解析器会在 20 分钟后停用,当前的预构建解析器版本会在 20 分钟后启用。预构建的解析器现在成为默认解析器。自定义解析器会在 20 分钟后停用,当前的预构建解析器版本会在 20 分钟后启用。预构建解析器现在成为默认解析器。
删除自定义解析器
在 应用菜单中,依次选择设置 > 解析器。
针对要删除的自定义解析器,点击 Menu,然后从列表中选择 Delete。注意:您无法删除预构建的解析器。
针对要删除的自定义解析器,点击 Menu,然后从列表中选择 Delete。注意:您无法删除预构建的解析器。
系统会显示 Delete custom parser(删除自定义解析器)对话框。
点击删除。
系统会在 20 分钟后删除自定义解析器,并启用当前的预构建解析器版本。系统会在 20 分钟后删除自定义解析器,并启用当前的预构建解析器版本。
创建扩展程序
解析器扩展提供了一种灵活的方式来扩展现有的预构建(默认)解析器和自定义解析器的功能。它们不会取代预构建或自定义解析器;而是支持将其他字段从原始原始日志无缝提取到 UDM 记录中。解析器扩展与自定义解析器不同。如需创建解析器扩展程序,请参阅使用解析器扩展程序。解析器扩展提供了一种灵活的方式来扩展现有的预构建(默认)解析器和自定义解析器的功能。它们不会取代预构建或自定义解析器;而是支持将其他字段从原始原始日志无缝提取到 UDM 记录中。解析器扩展与自定义解析器不同。如需创建解析器扩展程序,请参阅使用解析器扩展程序。
控制对解析器管理的访问权限
默认情况下,具有管理员和编辑者角色的用户可以管理解析器更新。您可以授予新权限,以控制哪些人可以查看和管理这些更新。如需详细了解如何管理用户和群组或分配角色,请参阅基于角色的访问权限控制用户指南。