執行原始記錄搜尋

支援的國家/地區:

您可以使用 Google Security Operations 搜尋 Google SecOps 帳戶中的原始記錄,並透過相關事件和實體取得相關背景資訊。

原始記錄搜尋結果會顯示原始事件與使用這些原始記錄產生的 UDM 事件之間的關聯。原始記錄搜尋功能可協助您瞭解記錄檔欄位的剖析和正規化方式,並調查正規化程序中的任何缺口。

完成原始記錄搜尋後,系統會將每個相符的原始記錄行,替換為記錄行中包含的事件和實體。從每行記錄中擷取的事件和實體數量上限為 10 個。

如要執行原始記錄搜尋,請按照下列步驟操作:

  1. 依序前往「調查」> SIEM 搜尋」

  2. 在搜尋欄位中,在搜尋字詞前面加上前置字串「raw = 」,並以半形引號括住搜尋字詞 (例如「raw = "example.com"」)。

  3. 從選單選項中選取原始記錄搜尋。Google SecOps 會找出相關的原始記錄、UDM 事件和相關實體。您也可以從 UDM 搜尋頁面執行相同搜尋 (raw = "example.com")。

您可以使用與修正 UDM 搜尋結果相同的快速篩選器。選取要套用至原始記錄結果的篩選器,進一步修正結果。

最佳化原始記錄查詢

原始記錄搜尋通常比 UDM 搜尋慢。如要提升搜尋效能,請變更搜尋設定,限制查詢的資料量:

  • 時間範圍選取器:限制您執行查詢的資料時間範圍。
  • 記錄來源選取器:將原始記錄搜尋範圍限制為僅來自特定來源的記錄,而非所有記錄來源。在「記錄來源」選單中,選取一或多個記錄來源 (預設為「全部」)。
  • 規則運算式:使用規則運算式。舉例來說,raw = /goo\w{3}.com/ 會比對 google.comgoodle.comgoog1e.com,進一步限制原始記錄搜尋的範圍。

趨勢變化

使用趨勢圖瞭解搜尋期間原始記錄的分佈情形。您可以在圖表上套用篩選器,尋找已剖析的記錄和原始記錄。

原始記錄檔結果

執行原始記錄搜尋時,結果會包含與搜尋條件相符的原始記錄所產生的 UDM 事件和實體,以及原始記錄。如要進一步探索搜尋結果,請點選任一結果:

  • UDM 事件或實體:如果您點選 UDM 事件或實體,Google SecOps 會顯示任何相關事件和實體,以及與該項目相關的原始記錄。

  • 原始記錄:點選原始記錄後,Google SecOps 會顯示整行原始記錄,以及該記錄的來源。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。