Filtraggio dei dati nella visualizzazione Raw Log Scan (Scansione log non elaborati)

Supportato in:

La scansione dei log non elaborati consente di esaminare i log non elaborati e non analizzati. Quando esegui una ricerca, Google Security Operations esamina innanzitutto i dati di sicurezza che sono stati importati e analizzati. Se le informazioni che cerchi non vengono trovate, puoi utilizzare Scansione dei log non elaborati per esaminare i log non elaborati e non analizzati. Puoi anche utilizzare le espressioni regolari per esaminare più da vicino i log non elaborati.

Utilizza la ricerca nei log non elaborati per esaminare gli elementi che appaiono nei log, ma che non sono stati indicizzati, tra cui:

  • Nomi utente
  • Nomi file
  • Chiavi del Registro di sistema
  • Argomenti della riga di comando
  • Dati non elaborati relativi alle richieste HTTP
  • Nomi di dominio basati su espressioni regolari
  • Nomi e indirizzi delle risorse

Per utilizzare la scansione dei log non elaborati in Google Security Operations, completa i seguenti passaggi:

  1. Inserisci una stringa di ricerca nella barra di ricerca della pagina di destinazione o della barra dei menu nella parte superiore dell'interfaccia utente di Google Security Operations. Fai clic su CERCA.

  2. Seleziona Scansione log non elaborata dal menu. Google Security Operations apre le opzioni di scansione dei log non elaborati.

  3. Specifica l'ora di inizio e l'ora di fine (il valore predefinito è 1 settimana) e fai clic su CERCA.

    Nella visualizzazione Ricerca log non elaborati, i filtri si basano su un insieme limitato di eventi come DNS, Webproxy, EDR e avviso. I filtri non includono informazioni su altri tipi di eventi come GENERIC, EMAIL e USER. Viene visualizzata la visualizzazione Scansione log non elaborata.

    Puoi utilizzare le espressioni regolari per cercare e abbinare insiemi di stringhe di caratteri all'interno dei dati sulla sicurezza utilizzando Google Security Operations. Le espressioni regolari ti consentono di restringere la ricerca utilizzando frammenti di informazioni, anziché un nome di dominio completo, ad esempio.

    Nella scansione dei log non elaborati sono disponibili le seguenti opzioni di filtro procedurale visualizza:

    • TIPO DI EVENTO
    • REGISTRA ORIGINE
    • STATO DELLA CONNESSIONE DI RETE
    • dominio di primo livello