收集 Google SecOps SOAR 日志

您可以在 Google Cloud Logs Explorer 中管理和监控 Google 安全运营 SOAR 日志。您还可以使用 Google Cloud 工具设置由 SOAR 操作日志中的特定事件触发的特殊指标和提醒。

日志会捕获 SOAR 的 ETL、Playbook 和 Python 函数中的重要数据。捕获的数据类型包括 Python 脚本的运行、提醒提取和 Playbook 性能。

访问 Google SecOps SOAR 日志

Google SecOps SOAR 日志会写入一个名为 chronicle-soar 的单独命名空间，并按生成日志的服务进行分类。

如需访问 Google SecOps SOAR 日志，请执行以下操作：

1. 在 Google Cloud 控制台中，依次选择 Logging > Logs Explorer。
2. 选择 Google SecOps Google Cloud 项目。

3. 在该字段中输入以下过滤条件，然后点击运行查询： none resource.labels.namespace_name="chronicle-soar"

4. 如需过滤特定服务的日志，请在该框中输入以下过滤条件，然后点击运行查询：

    resource.labels.namespace_name="chronicle-soar" 
    resource.labels.container_name="<container_name>" 

其中值包括 playbook、python 或 etl。

Playbook 标签

Playbook 日志标签提供了一种更高效、更便捷的方式来优化查询范围。所有标签都位于每个日志消息的“标签”部分：

如需缩小日志范围，请展开日志消息，右键点击每个标签，然后隐藏或显示特定日志：

可用的标签如下：

• playbook_definition
• playbook_name
• block_name
• block_definition
• case_id
• correlation_id
• integration_name
• action_name

Python 日志

Python 服务提供以下日志：

resource.labels.container_name="python"

集成和连接器标签：

• integration_name
• integration_version
• connector_name
• connector_instance

作业标签：

• integration_name
• integration_version
• job_name

操作标签：

• integration_name
• integration_version
• integration_instance
• correlation_id
• action_name

ETL 日志

ETL 服务提供以下日志：

resource.labels.container_name="etl"

ETL 标签：

• correlation_id

例如，如需为提醒提供提取流程，请按 correlation_id 过滤：