이 페이지는 Cloud Translation API를 통해 번역되었습니다.

원시 로그 검색 수행

다음에서 지원:

Google SecOps SIEM

Google Security Operations를 사용하여 Google Security Operations 계정에서 원시 로그를 검색하고 관련 이벤트 및 항목과 관련된 컨텍스트를 가져올 수 있습니다.

원시 로그 검색을 사용하면 원시 이벤트와 이러한 원시 로그를 사용하여 생성된 UDM 이벤트 간의 상관관계를 확인할 수 있습니다. 원시 로그 검색을 사용하면 로그 필드가 파싱되고 정규화되는 방식을 이해하고 정규화 프로세스의 격차를 조사할 수 있습니다.

원시 로그 검색을 완료하면 일치하는 각 원시 로그 줄이 로그 줄에 포함된 이벤트 및 항목으로 대체됩니다. 각 로그 줄에서 추출되는 이벤트 및 항목 수는 최대 10개로 제한됩니다.

원시 로그 검색을 실행하려면 다음 단계를 따르세요.

조사 > SIEM 검색으로 이동합니다.
검색창에 검색어 앞에 raw = 를 추가하고 검색어를 따옴표로 묶습니다 (예: raw = "example.com").
메뉴 옵션에서 원시 로그 검색을 선택합니다. Google Security Operations에서 연결된 원시 로그, UDM 이벤트, 연결된 항목을 찾습니다. UDM 검색 페이지에서 동일한 검색 (raw = 'example.com')을 실행할 수도 있습니다.

UDM 검색 결과를 세분화하는 데 사용되는 것과 동일한 빠른 필터를 사용할 수 있습니다. 원시 로그 결과에 적용하여 결과를 더 세분화할 필터를 선택합니다.

원시 로그 쿼리 최적화

원시 로그 검색은 일반적으로 UDM 검색보다 느립니다. 검색 성능을 개선하려면 검색 설정을 변경하여 쿼리를 실행하는 데이터의 양을 제한하세요.

시간 범위 선택기: 쿼리를 실행할 데이터의 시간 범위를 제한합니다.
로그 소스 선택기: 모든 로그 소스가 아닌 특정 소스의 로그로 원시 로그 검색을 제한합니다. 로그 소스 메뉴에서 로그 소스를 하나 이상 선택합니다 (기본값은 all).
정규 표현식: 정규 표현식을 사용합니다. 예를 들어 raw = /goo\w{3}.com/는 google.com, goodle.com, goog1e.com와 일치하여 원시 로그 검색 범위를 더 제한합니다.

동향 그래프를 사용하여 검색 기간 동안 원시 로그의 분포를 파악합니다. 그래프에 필터를 적용하여 파싱된 로그와 원시 로그를 찾을 수 있습니다.

원시 로그 검색을 실행하면 검색어와 일치하는 원시 로그에서 생성된 UDM 이벤트 및 항목과 원시 로그가 결합된 결과가 표시됩니다. 검색 결과를 클릭하여 검색 결과를 자세히 살펴볼 수 있습니다.

UDM 이벤트 또는 항목: UDM 이벤트 또는 항목을 클릭하면 Google Security Operations에 해당 항목과 연결된 원시 로그와 함께 관련 이벤트 및 항목이 표시됩니다.
원시 로그: 원시 로그를 클릭하면 Google Security Operations에 해당 로그의 소스와 함께 전체 원시 로그 행이 표시됩니다.