在“原始日志搜索”中过滤数据
支持的语言:
Google SecOps
SIEM
借助原始日志搜索,您可以检查未解析的原始日志。当您执行搜索时,Google Security Operations 首先会检查已提取和解析的安全数据。如果找不到您要搜索的信息,您可以使用原始日志搜索来检查未解析的原始日志。
使用原始日志搜索功能来调查日志中有日志但尚未编入索引的工件,具体包括:
- 用户名
- 文件名
- 注册表项
- 命令行参数
- 原始 HTTP 请求相关数据
- 基于正则表达式的域名
- 资源名称和地址
如需在 Google SecOps 中使用原始日志搜索,请执行以下操作:
在搜索栏中,输入搜索字符串或正则表达式,然后点击搜索。
在菜单中,选择原始日志搜索以显示搜索选项。
指定开始时间和结束时间(默认为 1 周),然后点击搜索。
原始日志搜索视图会显示原始数据事件。您可以按
DNS
、Webproxy
、EDR
和Alert
过滤结果。您可以使用正则表达式在 Google SecOps 中搜索和匹配安全数据中的字符串集。与使用完整的域名(例如)相反,正则表达式可让您使用信息片段来缩小搜索范围。
原始日志搜索视图中提供了以下过程过滤选项:
产品事件类型
日志来源
网络连接状态
TLD
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。