원시 로그 검색에서 데이터 필터링

다음에서 지원:

이 문서에서는 방문 페이지 또는 전용 검색 페이지에서 액세스할 수 있는 검색창을 사용하여 원시 로그를 필터링하는 데 사용할 수 있는 방법을 설명합니다.

다음 방법 중 하나를 선택합니다.

raw= 형식을 사용합니다.

raw= 형식을 사용하는 경우 다음 매개변수를 사용하여 원시 로그를 필터링하세요.

  • parsed: 파싱 상태를 기반으로 로그를 필터링합니다.

    • parsed=true: 파싱된 로그만 반환합니다.
    • parsed=false: 파싱되지 않은 로그만 반환합니다.

  • log_source=IN["log_source_name1", "log_source_name2"]: 로그 유형별로 필터링합니다.

원시 로그 검색 프롬프트 사용 (기존 방식)

원시 로그 검색 프롬프트를 사용하여 원시 로그를 필터링하려면 다음 단계를 따르세요.

  1. 검색창에 검색 문자열 또는 정규식을 입력한 다음 검색을 클릭합니다.

  2. 메뉴에서 원시 로그 검색을 선택하여 검색 옵션을 표시합니다.

  3. 시작 시간종료 시간을 지정하고 (기본값 1주) 검색을 클릭합니다.

    원시 로그 검색 뷰에는 원시 데이터 이벤트가 표시됩니다. DNS, Webproxy, EDR, Alert별로 결과를 필터링할 수 있습니다. 참고: 이러한 필터는 GENERIC, EMAIL, USER와 같은 이벤트 유형에는 적용되지 않습니다.

정규 표현식을 사용하면 Google SecOps를 사용하여 보안 데이터 내에서 문자열 집합을 검색하고 일치 항목을 찾을 수 있습니다. 정규 표현식을 사용하면 예를 들어 전체 도메인 이름을 사용할 때와 반대로 해당 정보의 일부만 사용하여 검색 범위를 좁힐 수 있습니다.

원시 로그 검색 뷰에서 사용할 수 있는 절차적 필터링 옵션은 다음과 같습니다.

  • 제품 이벤트 유형

    SecOps Console 기존 원시 로그 검색 페이지의 뷰에 이벤트가 표시되는 방식에는 다음과 같은 알려진 불일치가 있습니다.
    원시 로그 뷰:
       원시 event_log_type 값을 기반으로 이벤트 유형을 표시합니다.
       예를 들면 FILE_COPY입니다.
    UDM 이벤트 필드 보기:
       event_log_type 값을 기반으로 metadata.event_type 필드를 표시합니다.
       예를 들면 FILE_COPY입니다.
    절차적 필터링 보기:
       network.application_protocol 값을 기반으로 이벤트 유형 필드를 표시합니다.
       예를 들면 DNS입니다.

    • 로그 소스

  • 네트워크 연결 상태

  • TLD

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.