在“原始日志扫描”视图中过滤数据
原始日志扫描可用于检查未解析的原始日志。执行 Google Security Operations 会先检查已提取的安全数据, 并进行解析。如果找不到您要搜索的信息,您可以使用原始日志扫描来检查未解析的原始日志。您还可以使用正则表达式更仔细地检查原始日志。
使用“原始日志扫描”功能来调查日志中有日志但尚未编入索引的工件,具体包括:
- 用户名
- 文件名
- 注册表项
- 命令行参数
- 原始 HTTP 请求相关数据
- 基于正则表达式的域名
- 资源名称和地址
如需在 Google Security Operations 中使用原始日志扫描,请完成以下步骤:
在着陆页或 Google Security Operations 界面顶部的菜单栏中。点击搜索。
从菜单中选择 Raw Log Scan。Google Security Operations 会打开原始日志扫描选项。
指定开始时间和结束时间(默认为 1 周),然后点击搜索。
在原始日志搜索视图中,过滤条件基于一组有限的事件 例如 DNS、Webproxy、EDR 和 Alert这些过滤条件不包含 其他事件类型,如 GENERIC、EMAIL 和 USER。系统随即会显示“原始日志扫描”视图。
您可以使用正则表达式搜索和匹配字符集。 使用 Google Security Operations 在您的安全数据中添加字符串。正则表达式让 可以使用信息片段缩小搜索范围, 使用完整的域名。
“原始日志扫描”视图中提供了以下过程过滤选项:
- 事件类型
- 日志源
- 网络连接状态
- TLD