Filtrar dados na pesquisa de registros brutos

Compatível com:

Este documento explica os métodos disponíveis para filtrar registros brutos usando a barra Pesquisar, que pode ser acessada na página de destino ou na página Pesquisar dedicada.

Escolha um dos seguintes métodos:

Use o formato raw=

Ao usar o formato raw=, use estes parâmetros para filtrar registros brutos:

  • parsed: filtra registros com base no status de análise.

    • parsed=true: retorna apenas registros analisados.
    • parsed=false: retorna apenas registros não analisados.

  • log_source=IN["log_source_name1", "log_source_name2"]: filtra por tipo de registro.

Usar o comando de pesquisa de registros brutos (método legado)

Para usar o comando Pesquisa de registros brutos e filtrar registros brutos, faça o seguinte:

  1. Na barra de pesquisa, digite a string de pesquisa ou as expressões regulares e clique em Pesquisar.

  2. No menu, selecione Pesquisa de registros brutos para mostrar as opções de pesquisa.

  3. Especifique o Horário de início e o Horário de término (o padrão é uma semana) e clique em Pesquisar.

    A visualização Pesquisa de registros brutos mostra eventos de dados brutos. É possível filtrar os resultados por DNS, Webproxy, EDR e Alert. Observação: esses filtros não se aplicam a tipos de eventos, como GENERIC, EMAIL e USER.

É possível usar expressões regulares para pesquisar e corresponder conjuntos de strings de caracteres nos seus dados de segurança usando o Google SecOps. As expressões regulares permitem restringir a pesquisa usando fragmentos de informações, em vez de usar um nome de domínio completo, por exemplo.

As seguintes opções de filtragem procedural estão disponíveis na visualização Pesquisa de registros brutos:

  • Tipo de evento do produto

    Há inconsistências conhecidas entre como os eventos são mostrados em todas as visualizações na página legada Pesquisa de registros brutos do console do SecOps:
    ● Visualização Registro bruto:
       Mostra o Tipo de evento com base no valor bruto event_log_type.
       Por exemplo, FILE_COPY.
    ● Visualização Campos de eventos do UDM:
       Mostra o campo metadata.event_type com base no valor event_log_type.
       Por exemplo, FILE_COPY.
    ● Visualização Filtragem procedural:
       Mostra o campo Tipo de evento com base no valor network.application_protocol.
       Por exemplo, DNS.

    • Origem do registro

  • Status da conexão de rede

  • TLD

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.