请求预构建日志类型和创建自定义日志类型
本文档介绍了相关选项,可帮助您处理未由现有 Google Security Operations 解析器处理的日志数据。在这种情况下,Google SecOps 支持创建日志类型,以实现解析和注入。
您可以选择以下日志类型:
预构建的日志类型
此路径适用于您希望作为平台标准贡献的格式,以便所有 Google SecOps 客户都可以使用这些格式。
如果日志类型仅供您的租户内部使用,我们建议您使用自定义日志类型(即使产品是商业产品)。
如有需要,您可以向 Google SecOps 发送请求,以便将预构建日志类型添加到平台:
| 操作项 | 流程和时间安排 |
|---|---|
| 请求新的日志类型 | 请与您的 Google 客户经理或支持代表联系,以提交申请。获得批准后,所有 Google SecOps 客户都可以使用新的预构建日志类型。 |
| 请求新的预构建解析器 | Google 会将新的预建解析器请求作为新的功能请求进行管理,该请求是产品待办项的一部分。 |
自定义日志类型
建议将此路径用于速度和隐私至关重要的专有日志或租户专用日志。
建议:如果格式仅供租户内部使用,即使源产品是商业产品,也请使用自定义日志类型。
所有权:由贵组织创建并全代管式。
解析器要求:您必须自行配置相应的自定义解析器。
可用性:自定义日志类型和解析器创建后大约 10 分钟才会仅供您的组织使用。
如需了解相应的预构建解析器和自定义解析器,请参阅管理预构建解析器和自定义解析器。
创建自定义日志类型
如需创建自定义日志类型,请执行以下操作:
依次前往 SIEM 设置 > 可用日志类型。您可以使用搜索功能查看可用的日志类型。
点击申请日志类型。
在自行创建自定义日志类型下,输入日志类型的详细信息。
例如,如需为 Azure Key Vault 日志记录创建自定义日志类型,请完成以下操作:
在供应商/产品字段中,输入
Azure Key Vault logging。在日志类型字段中,输入
AZURE_KEYVAULT_LOGGING。
点击创建日志类型。
等待 10 分钟,确保新日志类型在所有组件中都可用,然后再使用该日志类型创建 Feed。
自定义日志类型限制如下:
总计:400
每日:25
每小时:8
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。