Cómo filtrar datos en la búsqueda de registros sin procesar

Se admite en los siguientes sistemas operativos:

En este documento, se explican los métodos disponibles para filtrar registros sin procesar con la barra de búsqueda, a la que puedes acceder en la página de destino o en la página Búsqueda dedicada.

Elige uno de los siguientes métodos:

Usa el formato raw=.

Cuando uses el formato raw=, usa estos parámetros para filtrar los registros sin procesar:

  • parsed: Filtra los registros según su estado de análisis.

    • parsed=true: Muestra solo los registros analizados.
    • parsed=false: Devuelve solo los registros sin analizar.

  • log_source=IN["log_source_name1", "log_source_name2"]: Filtra por tipo de registro.

Usa la instrucción de búsqueda de registros sin procesar (método heredado)

Para usar la instrucción Búsqueda de registros sin procesar y filtrar registros sin procesar, haz lo siguiente:

  1. En la barra de búsqueda, ingresa tu cadena de búsqueda o expresiones regulares y, luego, haz clic en Buscar.

  2. En el menú, selecciona Raw Log Search para mostrar las opciones de búsqueda.

  3. Especifica la Hora de inicio y la Hora de finalización (la configuración predeterminada es 1 semana) y haz clic en Buscar.

    En la vista Búsqueda de registros sin procesar, se muestran los eventos de datos sin procesar. Puedes filtrar los resultados por DNS, Webproxy, EDR y Alert. Nota: Estos filtros no se aplican a los tipos de eventos, como GENERIC, EMAIL y USER.

Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres en tus datos de seguridad con Google SecOps. Las expresiones regulares te permiten reducir la búsqueda con fragmentos de información, en lugar de usar un nombre de dominio completo, por ejemplo.

Las siguientes opciones de Procedural Filtering están disponibles en la vista Raw Log Search:

  • Tipo de evento del producto

    Existen inconsistencias conocidas entre la forma en que se muestran los eventos en las diferentes vistas de la página heredada Búsqueda de registros sin procesar de la consola de SecOps:
    ● Vista Registro sin procesar:
       Muestra el Tipo de evento según el valor sin procesar de event_log_type.
       Por ejemplo, FILE_COPY.
    ● Vista de campos de eventos del UDM:
       Muestra el campo metadata.event_type según el valor de event_log_type.
       Por ejemplo, FILE_COPY.
    ● Vista de Filtrado procedimental:
       Muestra el campo Tipo de evento según el valor de network.application_protocol.
       Por ejemplo, DNS.

    • Fuente de registro

  • Estado de la conexión de red

  • TLD

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.