执行原始日志搜索

支持的平台:

您可以使用 Google Security Operations 搜索 Google Security Operations 账号中的原始日志,并获取与相关事件和实体相关的背景信息。

通过原始日志搜索,您可以查看原始事件与使用这些原始日志生成的 UDM 事件之间的关联。原始日志搜索可帮助您了解日志字段的解析和标准化方式,并帮助您调查标准化过程中是否存在任何缺口。

完成原始日志搜索后,系统会将每个匹配的原始日志行替换为该日志行中包含的事件和实体。从每个日志行中提取的事件和实体的数量上限为 10 个。

如需执行原始日志搜索,请按以下步骤操作:

  1. 依次前往调查 > SIEM 搜索

  2. 在搜索字段中,为搜索添加前缀 raw = ,并将搜索字词括在引号中(例如 raw = "example.com")。

  3. 从菜单选项中选择“原始日志搜索”。Google Security Operations 会查找关联的原始日志、UDM 事件和关联的实体。您还可以在 UDM 搜索页面中运行相同的搜索(raw =“example.com”)。

您可以使用用于优化 UDM 搜索结果的快速过滤条件。选择要应用于原始日志结果的过滤条件,以进一步优化结果。

优化原始日志查询

原始日志搜索通常比 UDM 搜索慢。如需提升搜索性能,请更改搜索设置,以限制查询所涵盖的数据量:

  • 时间范围选择器:用于限制您运行查询时所涵盖的数据的时间范围。
  • 日志来源选择器:将原始日志搜索范围限制为仅限特定来源(而非所有来源)的日志。从日志来源菜单中,选择一个或多个日志来源(默认为全部)。
  • 正则表达式:使用正则表达式。例如,raw = /goo\w{3}.com/ 会与 google.comgoodle.comgoog1e.com 匹配,以进一步限制原始日志搜索的范围。

随时间变化的趋势

通过趋势图,您可以了解搜索期间原始日志的分布情况。您可以在图表中应用过滤条件,以查找已解析的日志和原始日志。

原始日志结果

运行原始日志搜索时,结果是与您的搜索匹配的原始日志生成的 UDM 事件和实体以及原始日志的组合。您可以点击任意搜索结果,进一步探索搜索结果:

  • UDM 事件或实体:如果您点击 UDM 事件或实体,Google 安全运营中心会显示所有相关事件和实体,以及与该项关联的原始日志。

  • 原始日志:如果您点击某个原始日志,Google Security Operations 会显示该原始日志行以及该日志的来源。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。