未加工ログ検索でデータをフィルタする

以下でサポートされています。

このドキュメントでは、ランディング ページまたは専用の [検索] ページからアクセスできる [検索] バーを使用して、未加工ログをフィルタリングする方法について説明します。

次のいずれかを行います。

raw= 形式を使用する

raw= 形式を使用する場合は、次のパラメータを使用して未加工ログをフィルタします。

  • parsed: ログを解析ステータスに基づいてフィルタします。

    • parsed=true: 解析されたログのみを返します。
    • parsed=false: 解析されていないログのみを返します。

  • log_source=IN["log_source_name1", "log_source_name2"]: ログタイプでフィルタします。

未加工ログ検索プロンプトを使用する(以前の方法)

未加工ログの検索プロンプトを使用して未加工ログをフィルタするには、次の操作を行います。

  1. 検索バーに検索文字列または正規表現を入力し、[検索] をクリックします。

  2. メニューで [Raw Log Search] を選択して、検索オプションを表示します。

  3. [開始時間] と [終了時間](デフォルトは 1 週間)を指定し、[検索] をクリックします。

    [未加工ログ検索] ビューには、未加工データ イベントが表示されます。結果は DNSWebproxyEDRAlert でフィルタできます。注: これらのフィルタは、GENERICEMAILUSER などのイベントタイプには適用されません。

正規表現を使用すると、Google SecOps を使用してセキュリティ データ内の文字列のセットを検索し、照合できます。正規表現を使用すると、例えば完全なドメイン名を使用するのではなく、情報の断片を使って検索を絞り込むことができます。

[Raw Log Search] ビューでは、次の [Procedural Filtering] オプションを使用できます。

  • 商品イベントタイプ

    SecOps Console レガシーの [Raw Log Search] ページのビュー間でイベントの表示方法に不整合があることがわかっています。
    ● [Raw Log] ビュー:
       未加工の event_log_type 値に基づいて [Event type] を表示します。
       たとえば FILE_COPY
    ● [UDM event fields] ビュー:
       event_log_type の値に基づいて metadata.event_type フィールドを表示します。
       たとえば FILE_COPY
    ● [Procedural Filtering] ビュー:
       network.application_protocol 値に基づいて [Event type] フィールドを表示します。
       たとえば DNS

    • ログソース

  • ネットワーク接続ステータス

  • TLD

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。