Filtre dados na pesquisa de registos não processados

Suportado em:

Este documento explica os métodos disponíveis para filtrar registos não processados através da barra de pesquisa, à qual pode aceder na página de destino ou na página Pesquisa dedicada.

Escolha um dos seguintes métodos:

Use o formato raw=

Quando usar o formato raw=, use estes parâmetros para filtrar registos não processados:

  • parsed: filtra os registos com base no respetivo estado de análise.

    • parsed=true: devolve apenas registos analisados.
    • parsed=false: devolve apenas registos não analisados.

  • log_source=IN["log_source_name1", "log_source_name2"]: filtra por tipo de registo.

Use o comando de pesquisa de registos não processados (método antigo)

Para usar o comando Pesquisa de registos não processados para filtrar registos não processados, faça o seguinte:

  1. Na barra de pesquisa, introduza a sua string de pesquisa ou expressões regulares e, de seguida, clique em Pesquisar.

  2. No menu, selecione Pesquisa de registos não processados para apresentar as opções de pesquisa.

  3. Especifique a Hora de início e a Hora de fim (a predefinição é 1 semana) e clique em Pesquisar.

    A vista Pesquisa de registos não processados apresenta eventos de dados não processados. Pode filtrar os resultados por DNS, Webproxy, EDR e Alert. Nota: estes filtros não se aplicam a tipos de eventos, como GENERIC, EMAIL e USER.

Pode usar expressões regulares para pesquisar e encontrar conjuntos de strings de carateres nos seus dados de segurança através do Google SecOps. As expressões regulares permitem restringir a pesquisa através de fragmentos de informações, em vez de usar um nome de domínio completo, por exemplo.

As seguintes opções de filtragem processual estão disponíveis na vista Pesquisa de registos não processados:

  • Tipo de evento do produto

    Existem inconsistências conhecidas entre a forma como os eventos são apresentados nas visualizações na página Raw Log Search (pesquisa de registos não processados) antiga da SecOps Console:
    ● Visualização Raw Log:
       apresenta o Event type (tipo de evento) com base no valor event_log_type não processado.
       Por exemplo FILE_COPY.
    ● Vista Campos de eventos de UDM:
       apresenta o campo metadata.event_type com base no valor event_log_type.
       Por exemplo FILE_COPY.
    ● Vista de filtragem processual:
       apresenta o campo Tipo de evento com base no valor network.application_protocol.
       Por exemplo DNS.

    • Origem do registo

  • Estado da ligação de rede

  • TLD

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.