自助式解析器选项
Google Security Operations 平台的统一数据模型 (UDM) 可为威胁检测和数据规范化提供全面支持。Google SecOps 团队会积极开发和更新许多商业产品的预构建解析器。不过,自定义请求受严格的服务级别约束:Google 工程团队会尽最大努力处理有关新解析器或现有解析器中其他字段映射的请求。您必须查看并了解解析器支持级别,才能了解完整详情。
为了获得最佳效果(包括立即控制日志提取、更快实现价值,以及即时部署更新),您必须利用以下自助服务选项。
推荐的自助服务选项
| 用例 | 推荐的功能 | 优势 |
|---|---|---|
| 新日志源(特定于租户) | 自定义日志类型 | 快速载入独特或高度自定义的数据流,无需 Google 审核。 |
| 提取其他字段 (JSON/XML) | 自动提取 | 只需进行最少的配置,即可自动识别和提取结构化日志(JSON、XML)中的新字段。 |
| 自定义 UDM 映射或非 JSON/XML | 解析器扩展程序 | 对提取逻辑实现精细、精确的控制,并确保特定字段正确映射到 UDM,从而最大限度地提高搜索和检测效果。 |
| 创建全新的完整解析器 | 选项 A:自动提取或选项 B:完全自定义的解析器 | 答:结构化日志的最简单快捷的路径。 B:让您完全掌控复杂日志,并能即时更新。 |
自助服务的详细使用场景
本部分提供了一些场景和实用指南,可帮助您根据特定的解析器或数据注入需求选择最有效的自助工具。
仅限租户的来源的自定义日志类型
如果您需要注入新的日志类型(即使是知名的商业产品),但日志格式是特定的,仅供您的租户使用,则应使用自助服务功能来处理自定义日志类型。
这种方法可让您在环境中快速注册独特的日志格式,无需使用需要 Google 进行广泛审核和部署的全局解析器。
如需详细了解如何创建自定义日志类型,请参阅自定义日志类型。
通过自动提取功能(JSON/XML)增强现有解析器
如果您使用的是现有的 JSON 或 XML 格式日志解析器,并且想要提取当前未解析的其他字段,则应使用自动提取。
自动提取功能可动态扫描结构化日志以识别未映射的字段,让您能够立即丰富 UDM 记录,而无需更改基本解析器的代码。
如需详细了解自动提取功能,请参阅自动提取概览。
使用解析器扩展功能微调提取和 UDM 映射
如果您的日志采用的格式不是 JSON 或 XML,或者您需要精确控制如何将提取的字段映射到特定的 UDM 字段,则应使用解析器扩展程序。
解析器扩展功能提供了一种强大的机制,可用于修改、扩展或替换现有解析器的逻辑。如果您需要执行以下操作,它们是理想的选择:
- 映射未自动识别的字段。
- 应用自定义逻辑来重新设置字段值的格式。
- 确保数据准确地标准化为 UDM 标准。
如需详细了解如何实现解析器扩展功能,请参阅解析器扩展功能和解析器扩展功能示例。
为新的日志来源创建新的解析器
在启用全新的日志来源时,请使用以下自助服务选项之一(按复杂程度排序):
方法 1:自动提取(简单):
对于结构化日志 (JSON/XML),建议采用自动提取方式,这种方式最直接。当新日志源采用结构化格式时,自动提取功能可确保立即解析所有字段,并以最少的配置工作量准备好供 UDM 提取。
如需详细了解如何使用此功能,请参阅自动提取概览。
选项 2:完全自定义解析器(高级):
此选项最适合复杂或独特的日志格式。如果日志复杂、非结构化或需要特定的正则表达式模式才能提取,您可以自行创建完整的自定义解析器。这样,您就可以完全掌控解析器逻辑,并能够即时更新和迭代。
如需详细了解如何管理完全自定义的解析器,请参阅自定义解析器。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。