Daten in der Rohlogsuche filtern

Unterstützt in:

In diesem Dokument werden die verfügbaren Methoden zum Filtern von Rohlogs mithilfe der Suchleiste beschrieben, auf die Sie auf der Landingpage oder der Seite Suchen zugreifen können.

Sie haben folgende Möglichkeiten:

raw=-Format verwenden

Wenn Sie das raw=-Format verwenden, können Sie die Rohlogs mit diesen Parametern filtern:

  • parsed: Filtert Logs nach ihrem Parsing-Status.

    • parsed=true: Gibt nur geparste Logs zurück.
    • parsed=false: Gibt nur nicht geparste Logs zurück.

  • log_source=IN["log_source_name1", "log_source_name2"]: Filtert nach Logtyp.

Prompt für die Suche in Rohdatenlogs verwenden (alte Methode)

So filtern Sie Rohlogs mit dem Prompt Raw Log Search:

  1. Geben Sie in der Suchleiste Ihren Suchstring oder Ihre regulären Ausdrücke ein und klicken Sie dann auf Suchen.

  2. Wählen Sie im Menü Rohlog-Suche aus, um die Suchoptionen aufzurufen.

  3. Geben Sie die Startzeit und die Endzeit an (standardmäßig ist eine Woche festgelegt) und klicken Sie auf Suchen.

    In der Ansicht Rohdaten-Logs werden Rohdatenereignisse angezeigt. Sie können die Ergebnisse nach DNS, Webproxy, EDR und Alert filtern. Hinweis: Diese Filter gelten nicht für Ereignistypen wie GENERIC, EMAIL und USER.

Mit Google SecOps können Sie reguläre Ausdrücke verwenden, um in Ihren Sicherheitsdaten nach Gruppen von Zeichenfolgen zu suchen und diese abzugleichen. Mit regulären Ausdrücken können Sie Ihre Suche mit Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.

Die folgenden Optionen für prozedurales Filtern sind in der Ansicht Standard-Logsuche verfügbar:

  • Produktereignistyp

    Es gibt bekannte Inkonsistenzen bei der Darstellung von Ereignissen in den verschiedenen Ansichten auf der Legacy-Seite Rohprotokollsuche in der SecOps Console:
    ● Ansicht Rohprotokoll:
       Hier wird der Ereignistyp basierend auf dem Rohwert event_log_type angezeigt.
       Beispiel: FILE_COPY.
    ● Ansicht UDM-Ereignisfelder:
       Hier wird das Feld metadata.event_type basierend auf dem Wert event_log_type angezeigt.
       Beispiel: FILE_COPY.
    ● Ansicht Prozedurales Filtern:
       Das Feld Ereignistyp wird basierend auf dem Wert network.application_protocol angezeigt.
       Beispiel: DNS.

    • Protokollquelle

  • Status der Netzwerkverbindung

  • TLD

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten