Filtrer les données dans la recherche de journaux bruts

Compatible avec :

Ce document explique les méthodes disponibles pour filtrer les journaux bruts à l'aide de la barre de recherche, à laquelle vous pouvez accéder sur la page de destination ou sur la page Recherche dédiée.

Sélectionnez l'une des méthodes suivantes :

Utilisez le format raw=.

Lorsque vous utilisez le format raw=, utilisez ces paramètres pour filtrer les journaux bruts :

  • parsed : filtre les journaux en fonction de leur état d'analyse.

    • parsed=true : ne renvoie que les journaux analysés.
    • parsed=false : ne renvoie que les journaux non analysés.

  • log_source=IN["log_source_name1", "log_source_name2"] : filtre par type de journal.

Utiliser l'invite de recherche dans les journaux bruts (ancienne méthode)

Pour utiliser l'invite Recherche de journaux bruts afin de filtrer les journaux bruts, procédez comme suit :

  1. Dans la barre de recherche, saisissez votre chaîne de recherche ou vos expressions régulières, puis cliquez sur Rechercher.

  2. Dans le menu, sélectionnez Recherche dans les journaux bruts pour afficher les options de recherche.

  3. Indiquez l'heure de début et l'heure de fin (par défaut, une semaine), puis cliquez sur Rechercher.

    La vue Recherche dans les journaux bruts affiche les événements de données brutes. Vous pouvez filtrer les résultats par DNS, Webproxy, EDR et Alert. Remarque : Ces filtres ne s'appliquent pas aux types d'événements, tels que GENERIC, EMAIL et USER.

Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Google SecOps. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, au lieu d'utiliser un nom de domaine complet, par exemple.

Les options de filtrage procédural suivantes sont disponibles dans la vue Recherche dans les journaux bruts :

  • Type d'événement produit

    Des incohérences connues existent entre la façon dont les événements s'affichent dans les vues de l'ancienne page Recherche dans les journaux bruts de la console SecOps :
    ● Vue Journal brut :
       affiche le type d'événement en fonction de la valeur brute event_log_type.
       Par exemple, FILE_COPY.
    ● Vue Champs d'événement UDM :
       affiche le champ metadata.event_type en fonction de la valeur event_log_type.
       Par exemple, FILE_COPY.
    ● Vue Filtrage procédural :
       Affiche le champ Type d'événement en fonction de la valeur network.application_protocol.
       Par exemple, DNS.

    • Source du journal

  • État de la connexion réseau

  • TLD

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.