Filtrar datos en la búsqueda de registros sin procesar

Disponible en:

En este documento se explican los métodos disponibles para filtrar registros sin procesar mediante la barra de búsqueda, a la que puede acceder desde la página de destino o desde la página Búsqueda específica.

Elige uno de estos métodos:

Usa el formato raw=

Cuando utilice el formato raw=, use estos parámetros para filtrar los registros sin procesar:

  • parsed: filtra los registros en función de su estado de análisis.

    • parsed=true: devuelve solo los registros analizados.
    • parsed=false: devuelve solo los registros sin analizar.

  • log_source=IN["log_source_name1", "log_source_name2"]: filtra por tipo de registro.

Usar la petición de búsqueda de registros sin procesar (método antiguo)

Para usar la petición Búsqueda de registros sin procesar para filtrar registros sin procesar, sigue estos pasos:

  1. En la barra de búsqueda, introduce la cadena de búsqueda o las expresiones regulares y, a continuación, haz clic en Buscar.

  2. En el menú, selecciona Búsqueda de registros sin procesar para ver las opciones de búsqueda.

  3. Especifica la Hora de inicio y la Hora de finalización (el valor predeterminado es 1 semana) y haz clic en Buscar.

    La vista Búsqueda de registros sin procesar muestra eventos de datos sin procesar. Puedes filtrar los resultados por DNS, Webproxy, EDR y Alert. Nota: Estos filtros no se aplican a los tipos de evento, como GENERIC, EMAIL y USER.

Puedes usar expresiones regulares para buscar y encontrar conjuntos de cadenas de caracteres en tus datos de seguridad con Google SecOps. Las expresiones regulares te permiten acotar la búsqueda mediante fragmentos de información, en lugar de usar un nombre de dominio completo, por ejemplo.

Las siguientes opciones de filtrado procedimental están disponibles en la vista Búsqueda de registros sin procesar:

  • Tipo de evento de producto

    Hay inconsistencias conocidas entre la forma en que se muestran los eventos en las vistas de la página Búsqueda de registros sin procesar de la consola SecOps antigua:
    ● Vista Registro sin procesar:
       muestra el Tipo de evento en función del valor event_log_type sin procesar.
       Por ejemplo, FILE_COPY.
    ● Vista Campos de evento de UDM:
       muestra el campo metadata.event_type en función del valor event_log_type.
       Por ejemplo, FILE_COPY.
    ● Vista Filtrado por procedimiento:
       muestra el campo Tipo de evento en función del valor de network.application_protocol.
       Por ejemplo, DNS.

    • Fuente de registro

  • Estado de la conexión de red

  • TLD

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.