在原始記錄檔搜尋中篩選資料

支援的國家/地區:

原始記錄搜尋功能可讓您檢查未經剖析的原始記錄。執行搜尋時,Google Security Operations 會先檢查已擷取及剖析的安全資料。如果找不到所需資訊,可以使用原始記錄搜尋功能檢查未經剖析的原始記錄。

使用「原始記錄搜尋」調查記錄中顯示但未編入索引的構件,包括:

  • 使用者名稱
  • 檔案名稱
  • 登錄檔機碼
  • 指令列引數
  • 與原始 HTTP 要求相關的資料
  • 根據規則運算式設定網域名稱
  • 資產名稱和地址

如要在 Google SecOps 中使用「原始記錄搜尋」,請按照下列步驟操作:

  1. 在搜尋列中輸入搜尋字串或規則運算式,然後按一下「搜尋」

  2. 在選單中選取「原始記錄搜尋」,即可顯示搜尋選項。

  3. 指定「開始時間」和「結束時間」 (預設為 1 週),然後按一下「搜尋」

    「原始記錄搜尋」檢視畫面會顯示原始資料事件。你可以依 DNSWebproxyEDRAlert 篩選結果。

    您可以使用規則運算式,在 Google SecOps 中搜尋及比對安全性資料內的字元字串集。規則運算式可讓您使用資訊片段縮小搜尋範圍,例如使用部分網域名稱。

    「原始記錄搜尋」檢視畫面提供下列「程序篩選」選項:

    • 產品事件類型

    • 記錄來源

    • 網路連線狀態

    • TLD

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。