使用原始日志搜索
执行搜索时,Google Security Operations 会先检查已提取、解析和规范化的安全数据。如果您在规范化数据中找不到相应信息,可以使用原始日志搜索来检查未解析的原始日志。您还可以使用正则表达式更详细地检查原始日志。
您可以使用原始日志搜索功能来调查日志中有日志但尚未编入索引的工件,具体包括:
- 用户名
- 文件名
- 注册表项
- 命令行参数
- 原始 HTTP 请求相关数据
- 基于正则表达式的域名
- 资源命名空间和地址
原始日志搜索
您可以使用着陆页或菜单栏中的搜索栏执行原始日志搜索。选择以下方法之一:
使用 raw= 格式
您可以使用 raw= 格式查询原始日志。这是推荐的方法。
- 如需搜索子字符串,请将搜索字词用英文引号括起来。例如,
raw = "ABC"。 - 如需使用正则表达式进行搜索,请使用正斜杠 (/) 将表达式括起来。例如,
raw = /AB*C/。
旧版方法:使用“原始日志搜索”提示
- 在搜索栏中,输入至少包含 4 个字符(例如,MD5 哈希)的搜索字符串,包括通配符。
- 如果搜索未返回任何结果,系统会显示原始日志搜索选项。
- 可选:指定开始时间和结束时间。默认范围为过去 7 天。
- 可选:在日志来源列表中,选择一个或多个日志来源。默认设置为全部。
- 点击搜索。
系统会显示与搜索字符串关联的事件。点击箭头即可打开相应的原始日志。
正则表达式
您可以在 Google SecOps 中使用正则表达式来搜索和匹配安全数据中的字符串集。正则表达式可帮助您使用信息片段缩小搜索范围,而无需完全匹配。
如需使用正则表达式语法执行搜索,请执行以下操作:
- 在搜索字段中,输入正则表达式。正则表达式的长度必须介于 4 到 66 个字符之间。
- 选中以正则表达式形式运行查询复选框,然后点击搜索。
Google SecOps 正则表达式基础架构基于 Google RE2(一个开源正则表达式引擎)。Google SecOps 使用相同的正则表达式语法。
下表突出显示了可用于搜索的一些常见正则表达式语法。
| 任意字符 | . |
| x 个任意字符 | {x} |
| 字符类 | [xyz] |
| 否定字符类 | [^xyz] |
| 字母数字 (0-9A-Za-z) | [[:alnum:]] |
| 字母 (A-Za-z) | [[:alpha:]] |
| 数字 (0-9) | [[:digit:]] |
| 小写 (a-z) | [[:lower:]] |
| 大写 (A-Z) | [[:upper:]] |
| 字词字符 (0-9A-Za-z_) | [[:word:]] |
| 十六进制数 (0-9A-Fa-f) | [[:xdigit:]] |
| 问号符号 (?) | 匹配零次或一次前面的元素。 |
| 星号 (*) | 匹配零次或多次出现的前一个字符或组。 |
| 加号 (+) | 匹配前面的字符或分组一次或多次。 |
以下示例说明了如何使用正则表达式搜索数据:
goo.le\.com- 匹配以goo开头、后跟任意单个字符、再后跟le.com的任何字符串,例如google.com或goo0le.com。goo\w{3}\.com- 匹配以goo开头、后跟三个字词字符 (\w) 并以.com结尾的字符串。例如google.com、goojle.com或goodle.com。[[:digit:]]\.[[:alpha:]]- 匹配包含一位数、一个英文句点 (.) 和一个字母字符(例如34323.system、23458.office或897.net)的字符串。
用于搜索 Windows 日志的正则表达式示例
本部分提供了可与 Google SecOps 原始日志搜索搭配使用的正则表达式查询字符串,以便查找通常受监控的 Windows 事件。这些示例假设 Windows 日志消息采用 JSON 格式。
如需详细了解受监控的 Windows 事件 ID,请参阅要监控的事件。提供的示例遵循这些使用场景中所述的类似模式。
| 用例:返回 EventID 1150 的事件 | |
| 正则表达式字符串: | \"EventID\"\:\s*1150 |
| 匹配的值: | "EventID":1150 |
| 用例:返回事件 ID 为 1150 或 1151 的事件 | |
| 正则表达式字符串 | (?:\"EventID\"\:\s*)(?:1150|1151) |
| 匹配的值 | "EventID":1150和"EventID":1151之间 |
| 用例:返回事件 ID 为 1150 或 1151 且 ThreadID 9092 的事件 | |
| 正则表达式字符串 | (?:\"EventID\"\:\s*)(?:1150|1151).*(?:\"ThreadID\"\:\s*9092) |
| 匹配的值 | "EventID":1150 <...any number of characters...> "ThreadID":9092
和 "EventID":1151 <...any number of characters...> "ThreadID":9092 |
查找账号管理事件
这些正则表达式查询字符串通过 EventID 特性标识常见的账号管理事件。
| 事件类型 | 正则表达式 |
| 创建了用户账号 | "EventID\"\:\s*4720 |
| 已启用用户账号 | "EventID\"\:\s*4722 |
| 已停用用户账号 | "EventID\"\:\s*4725 |
| 已删除用户账号 | "EventID\"\:\s*4726 |
| 用户权限修改 | "EventID\"\:\s*4703 |
| 向已启用安全性的全局群组添加了成员 | "EventID\"\:\s*4728 |
| 从已启用安全性的全局群组中移除了成员 | "EventID\"\:\s*4729 |
| 已删除已启用安全性的全局群组 | "EventID\"\:\s*4730 |
查找登录成功事件
这些正则表达式查询字符串使用 EventID 和 LogonType 特性标识成功登录事件的类型。
| 事件类型 | 正则表达式 |
| 登录成功 | "EventID\"\:\s*4624 |
| 登录成功 - 互动 (LogonType=2) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"2\" |
| 登录成功 - 批量登录 (LogonType=4) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"4\" |
| 登录成功 - 服务登录 (LogonType=5) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"5\" |
| 登录成功 - 远程互动登录 (LogonType=10) | "EventID\"\:\s*4624.*?LogonType\"\:\s*\"10\" |
| 登录成功 - 互动、批量、服务或远程互动 | (?:"EventID\"\:\s*4624.*?LogonType\"\:\s*\")(?:2|4|5|10)\" |
查找登录失败事件
这些正则表达式查询字符串通过 EventID 和 LogonType 特性标识成功登录事件的类型。
| 事件类型 | 正则表达式 |
| 登录失败 | "EventID\"\:\s*4625 |
| 登录失败 - 互动 (LogonType=2) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"2\" |
| 登录失败 - 批量登录 (LogonType=4) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"4\" |
| 登录失败 - 服务登录 (LogonType=5) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"5\" |
| 登录失败 - 远程互动登录 (LogonType=10) | "EventID\"\:\s*4625.*?LogonType\"\:\s*\"10\" |
| 登录失败 - 交互、批量、服务或远程交互式 | (?:"EventID\"\:\s*4625.*LogonType\"\:\s*\")(?:2|4|5|10)\" |
查找进程、服务和任务事件
这些正则表达式查询字符串通过 EventID 特性标识某些进程和服务事件。
| 事件类型 | 正则表达式 |
| 进程启动 | "EventID\"\:\s*4688 |
| 进程退出 | "EventID\"\:\s*4689 |
| 已安装服务 | "EventID\"\:\s*4697 |
| 已创建新服务 | "EventID\"\:\s*7045 |
| 已创建安排任务 | "EventID\"\:\s*4698 |
查找与对象访问权限相关的事件
这些正则表达式查询字符串通过 EventID 特性标识不同类型的进程和服务相关事件。
| 事件类型 | 正则表达式 |
| 已清除审核日志 | "EventID\"\:\s*1102 |
| 尝试访问对象 | "EventID\"\:\s*4663 |
| 已访问共享 | "EventID\"\:\s*5140 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。