Filtrare i dati nella ricerca dei log non elaborati

Supportato in:

Questo documento illustra i metodi disponibili per filtrare i log non elaborati utilizzando la barra di ricerca, a cui puoi accedere nella pagina di destinazione o nella pagina Ricerca dedicata.

Scegli uno dei seguenti metodi:

Utilizza il formato raw=

Quando utilizzi il formato raw=, utilizza questi parametri per filtrare i log non elaborati:

  • parsed: Filtra i log in base al loro stato di analisi.

    • parsed=true: restituisce solo i log analizzati.
    • parsed=false: restituisce solo i log non analizzati.

  • log_source=IN["log_source_name1", "log_source_name2"]: Filtra per tipo di log.

Utilizzare il prompt di ricerca dei log non elaborati (metodo legacy)

Per utilizzare il prompt Ricerca log grezzi per filtrare i log grezzi:

  1. Nella barra di ricerca, inserisci la stringa di ricerca o le espressioni regolari, quindi fai clic su Cerca.

  2. Nel menu, seleziona Ricerca log grezzi per visualizzare le opzioni di ricerca.

  3. Specifica Ora di inizio e Ora di fine (il valore predefinito è 1 settimana) e fai clic su Cerca.

    La visualizzazione Ricerca log non elaborati mostra gli eventi di dati non elaborati. Puoi filtrare i risultati per DNS, Webproxy, EDR e Alert. Nota: questi filtri non si applicano ai tipi di eventi, ad esempio GENERIC, EMAIL e USER.

Puoi utilizzare le espressioni regolari per cercare e trovare corrispondenze di insiemi di stringhe di caratteri all'interno dei dati di sicurezza utilizzando Google SecOps. Le espressioni regolari ti consentono di restringere la ricerca utilizzando frammenti di informazioni, anziché un nome di dominio completo, ad esempio.

Nella visualizzazione Ricerca log non elaborati sono disponibili le seguenti opzioni di filtraggio procedurale:

  • Tipo di evento del prodotto

    Esistono incongruenze note tra il modo in cui gli eventi vengono visualizzati nelle varie visualizzazioni della pagina Ricerca log grezzi della console SecOps legacy:
    ● Visualizzazione Log grezzo:
       mostra il Tipo di evento in base al valore event_log_type grezzo.
       Ad esempio FILE_COPY.
    ● Visualizzazione Campi evento UDM:
       Mostra il campo metadata.event_type in base al valore event_log_type.
       Ad esempio FILE_COPY.
    ● Visualizzazione Filtro procedurale:
       mostra il campo Tipo di evento in base al valore di network.application_protocol.
       Ad esempio DNS.

    • Origine log

  • Stato della connessione di rete

  • TLD

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.