未加工ログスキャン ビューでデータをフィルタする

未加工ログスキャンを使用すると、解析されていない未加工のログを調べることができます。検索を実行すると、Google セキュリティ オペレーションはまず、取り込まれ、解析されたセキュリティ データを調べます。探している情報が見つからない場合は、未加工ログスキャンを使用して解析されていない未加工のログを調べることができます。正規表現を使用して、未加工のログをさらに調べることもできます。

未加工ログスキャンを使用して、次のような、ログに表示されるているもののインデックスに登録されていないアーティファクトを調査します。

• ユーザー名
• ファイル名
• レジストリキー
• コマンドライン引数
• 未加工の HTTP リクエスト関連データ
• 正規表現に基づくドメイン名
• アセットの名前とアドレス

Google セキュリティ オペレーションで未加工ログスキャンを使用するには、次の手順を行います。

1. ランディング ページ、または Google Security Operations ユーザー インターフェースの上部にあるメニューバーのいずれかの検索バーに検索文字列を入力します。[検索] をクリックします。

2. メニューから [Raw Log Scan] を選択します。Google Security Operations で [未加工ログスキャン] オプションが開きます。

3. 開始時刻と終了時刻（デフォルトは 1 週間）を指定し、[検索] をクリックします。

   [未加工ログ検索] ビューでは、フィルタは DNS、Webproxy、EDR、アラートなどの限定された一連のイベントに基づいています。フィルタには、GENERIC、EMAIL、USER などの他のイベントタイプに関する情報は含まれません。[未加工ログスキャン] ビューが表示されます。

   正規表現を使用すると、Google セキュリティ オペレーションを使用してセキュリティ データ内の文字列のセットを検索し、照合できます。正規表現を使用すると、例えば完全なドメイン名を使用するのではなく、情報の断片を使って検索を絞り込むことができます。

   [Raw Log Scan] ビューでは、次の [Procedural Filtering] オプションを使用できます。

   • EVENT TYPE
   • LOG SOURCE
   • NETWORK CONNECTION STATUS
   • TLD