Opsi parser layanan mandiri
Model Data Terpadu (UDM) platform Operasi Keamanan Google memberikan dukungan komprehensif untuk deteksi ancaman dan normalisasi data. Google SecOps secara aktif mengembangkan dan mengupdate parser bawaan untuk banyak produk komersial. Namun, tingkat layanan yang ketat mengatur permintaan kustom: Tim Engineering Google memproses permintaan parser baru atau pemetaan kolom tambahan di parser yang ada berdasarkan upaya terbaik. Anda harus meninjau dan memahami tingkat dukungan Parser untuk mengetahui detail selengkapnya.
Untuk mendapatkan hasil terbaik—termasuk kontrol langsung atas penyerapan log, waktu perolehan nilai yang lebih cepat, dan deployment update instan—Anda harus memanfaatkan opsi layanan mandiri berikut.
Opsi layanan mandiri yang direkomendasikan
| Kasus penggunaan | Kemampuan yang direkomendasikan | Manfaat |
|---|---|---|
| Sumber log baru (khusus tenant) | Jenis log kustom | Aktifkan aliran data yang unik atau sangat disesuaikan dengan cepat tanpa memerlukan peninjauan Google. |
| Mengekstrak kolom tambahan (JSON/XML) | Ekstraksi Otomatis | Mengidentifikasi dan mengekstrak kolom baru secara otomatis dari log terstruktur (JSON, XML) dengan konfigurasi minimal. |
| Pemetaan UDM kustom atau non-JSON/XML | Ekstensi parser | Dapatkan kontrol yang terperinci dan presisi atas logika ekstraksi dan pastikan kolom tertentu dipetakan dengan benar ke UDM untuk efikasi penelusuran dan deteksi yang maksimal. |
| Membuat parser baru yang lengkap | Opsi A: Ekstraksi Otomatis atau Opsi B: Pengurai kustom penuh | J: Jalur paling sederhana dan tercepat untuk log terstruktur. B: Memberi Anda kepemilikan penuh dan kemampuan update instan untuk log yang kompleks. |
Kasus penggunaan mendetail untuk layanan mandiri
Bagian ini memberikan skenario dan panduan praktis untuk membantu Anda memilih alat layanan mandiri yang paling efektif untuk kebutuhan penguraian atau penyerapan data spesifik Anda.
Jenis log kustom untuk sumber khusus tenant
Jika Anda perlu menyerap jenis log baru—meskipun produk komersialnya sudah terkenal—tetapi format lognya spesifik dan hanya ditujukan untuk digunakan dalam tenant Anda, Anda harus menggunakan kemampuan layanan mandiri untuk Jenis Log Kustom.
Dengan pendekatan ini, Anda dapat mendaftarkan format log unik dengan cepat dalam lingkungan Anda, sehingga tidak perlu parser global yang memerlukan peninjauan dan deployment ekstensif oleh Google.
Untuk mengetahui informasi selengkapnya tentang cara membuat jenis log kustom, lihat Jenis log kustom.
Meningkatkan kualitas parser yang ada dengan Ekstraksi Otomatis (JSON/XML)
Jika Anda menggunakan parser yang ada untuk log dalam format JSON atau XML dan ingin mengekstrak kolom tambahan yang saat ini tidak diparse, Anda harus menggunakan Ekstraksi Otomatis.
Ekstraksi Otomatis secara dinamis memindai log terstruktur Anda untuk mengidentifikasi kolom yang tidak dipetakan, sehingga Anda dapat langsung memperkaya data UDM tanpa memerlukan perubahan kode pada parser dasar.
Untuk mengetahui informasi selengkapnya tentang kemampuan Ekstraksi Otomatis, lihat Ringkasan Ekstraksi Otomatis.
Menyesuaikan ekstraksi dan pemetaan UDM dengan ekstensi parser
Jika log Anda dalam format yang berbeda dari JSON atau XML, atau jika Anda memerlukan kontrol yang tepat atas cara kolom yang diekstrak dipetakan ke kolom UDM tertentu, Anda harus menggunakan Ekstensi Parser.
Ekstensi parser menyediakan mekanisme yang efektif untuk mengubah, memperluas, atau mengganti logika parser yang ada. Opsi ini adalah pilihan ideal jika Anda perlu:
- Memetakan kolom yang tidak diidentifikasi secara otomatis.
- Terapkan logika kustom untuk memformat ulang nilai kolom.
- Pastikan normalisasi data yang akurat ke standar UDM.
Untuk mengetahui informasi selengkapnya tentang penerapan ekstensi parser, lihat Ekstensi parser dan Contoh ekstensi parser.
Membuat parser baru untuk sumber log baru
Saat Anda mengaktifkan sumber log yang benar-benar baru, gunakan salah satu opsi layanan mandiri berikut, yang diurutkan berdasarkan kompleksitas:
Opsi 1: Ekstraksi Otomatis (sederhana):
Ekstraksi otomatis adalah jalur yang direkomendasikan dan paling mudah untuk log terstruktur (JSON/XML). Jika sumber log baru Anda dalam format terstruktur, Ekstraksi Otomatis akan mengonfirmasi bahwa semua kolom segera diuraikan dan siap untuk penyerapan UDM dengan sedikit upaya konfigurasi.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan kemampuan ini, lihat Ringkasan Ekstraksi Otomatis.
Opsi 2: Parser kustom penuh (lanjutan):
Opsi ini paling cocok untuk Format Log yang Kompleks atau Unik. Jika log kompleks, tidak terstruktur, atau memerlukan pola ekspresi reguler tertentu untuk ekstraksi, Anda dapat membuat parser kustom lengkap sendiri. Hal ini memberi Anda kepemilikan penuh atas logika parser dan memungkinkan pembaruan dan iterasi instan.
Untuk mengetahui informasi selengkapnya tentang cara mengelola parser kustom penuh, lihat Parser kustom.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.