Diese Seite wurde von der Cloud Translation API übersetzt.

Suche in Rohlogs

Unterstützt in:

Google SecOps SIEM

Mit Google Security Operations können Sie die Rohprotokolle in Ihrem Google Security Operations-Konto durchsuchen und relevanten Kontext mit zugehörigen Ereignissen und Entitäten abrufen.

Bei Suchanfragen in Rohlogs sehen Sie die Korrelation zwischen Rohereignissen und den UDM-Ereignissen, die anhand dieser Rohlogs generiert wurden. Mit einer Suche in Rohlogs können Sie nachvollziehen, wie Logfelder geparst und normalisiert werden, und Lücken im Normalisierungsprozess untersuchen.

Nach Abschluss einer Suche in Rohlogs wird jede übereinstimmende Rohlogzeile durch die Ereignisse und Entitäten ersetzt, die in der Logzeile enthalten sind. Die Anzahl der Ereignisse und Entitäten, die aus jeder Logzeile extrahiert werden, ist auf maximal 10 eingeschränkt.

So führen Sie eine Suche in Rohlogs durch:

Gehen Sie zu Untersuchung > SIEM-Suche.
Fügen Sie im Suchfeld das Präfix raw = hinzu und setzen Sie den Suchbegriff in Anführungszeichen (z. B. raw = "example.com").
Wählen Sie im Menü die Option „Suche in Rohlogs“ aus. Google Security Operations sucht nach den zugehörigen Rohlogs, UDM-Ereignissen und zugehörigen Entitäten. Sie können dieselbe Suche (raw = „beispiel.de“) auch über die Seite „UDM-Suche“ ausführen.

Sie können dieselben Schnellfilter verwenden, mit denen Sie UDM-Suchergebnisse verfeinern. Wählen Sie den Filter aus, den Sie auf die Rohprotokollergebnisse anwenden möchten, um sie weiter einzugrenzen.

Abfragen für Rohlogs optimieren

Suchanfragen in Rohlogs sind in der Regel langsamer als UDM-Suchanfragen. Sie können die Suchleistung verbessern, indem Sie die Anzahl der Daten einschränken, auf die Ihre Abfrage angewendet wird. Ändern Sie dazu die Sucheinstellungen:

Zeitraumauswahl: Hiermit wird der Zeitraum der Daten begrenzt, für die die Abfrage ausgeführt wird.
Auswahl der Protokollquelle: Hiermit wird die Suche in Rohlogs auf die Protokolle bestimmter Quellen beschränkt, anstatt auf alle Protokollquellen. Wählen Sie im Menü Logquellen eine oder mehrere Logquellen aus. Standardmäßig ist alle ausgewählt.
Reguläre Ausdrücke: Verwenden Sie einen regulären Ausdruck. Beispiel: raw = /goo\w{3}.com/ wird mit google.com, goodle.com und goog1e.com abgeglichen, um den Umfang der Suche in den Rohlogs weiter einzugrenzen.

Trend im Laufe der Zeit

Anhand des Trenddiagramms können Sie die Verteilung der Rohprotokolle im Verlauf Ihrer Suche nachvollziehen. Sie können Filter auf die Grafik anwenden, um nach geparsten und Rohlogs zu suchen.

Ergebnisse von Rohlogs

Wenn Sie eine Suche in Rohlogs ausführen, sind die Ergebnisse eine Kombination aus UDM-Ereignissen und Entitäten, die von den Rohlogs generiert wurden, die Ihren Suchanfragen entsprechen, sowie den Rohlogs selbst. Sie können die Suchergebnisse genauer untersuchen, indem Sie auf eines der Ergebnisse klicken:

UDM-Ereignis oder ‑Entität: Wenn Sie auf ein UDM-Ereignis oder eine UDM-Entität klicken, werden alle zugehörigen Ereignisse und Entitäten sowie das zugehörige Rohprotokoll angezeigt.
Rohprotokoll: Wenn Sie auf ein Rohprotokoll klicken, wird in Google Security Operations die gesamte Rohprotokollzeile zusammen mit der Quelle für dieses Protokoll angezeigt.