在原始日志搜索中过滤数据

支持的平台:

本文档介绍了如何使用搜索栏过滤原始日志。您可以在着陆页或专用搜索页面上访问该搜索栏。

选择以下方法之一:

使用 raw= 格式

使用 raw= 格式时,请使用以下参数过滤原始日志:

  • parsed:根据日志的解析状态过滤日志。

    • parsed=true:仅返回已解析的日志。
    • parsed=false:仅返回未解析的日志。

  • log_source=IN["log_source_name1", "log_source_name2"]:按日志类型过滤。

使用原始日志搜索提示(旧版方法)

如需使用原始日志搜索提示过滤原始日志,请执行以下操作:

  1. 在搜索栏中,输入搜索字符串或正则表达式,然后点击搜索

  2. 在菜单中,选择原始日志搜索以显示搜索选项。

  3. 指定开始时间结束时间(默认为 1 周),然后点击搜索

    原始日志搜索视图会显示原始数据事件。您可以按 DNSWebproxyEDRAlert 过滤结果。注意:这些过滤条件不适用于 GENERICEMAILUSER 等事件类型。

您可以使用正则表达式在 Google SecOps 中搜索和匹配安全数据中的字符串集。与使用完整的域名(例如)相反,正则表达式可让您使用信息片段来缩小搜索范围。

原始日志搜索视图中提供了以下过程过滤选项:

  • 商品活动类型

    SecOps 控制台旧版原始日志搜索页面中各视图显示的事件存在已知的不一致情况:
    原始日志视图:
       根据原始 event_log_type 值显示事件类型
       例如 FILE_COPY
    UDM 事件字段视图:
       根据 event_log_type 值显示 metadata.event_type 字段。
       例如 FILE_COPY
    程序化过滤视图:
       根据 network.application_protocol 值显示事件类型字段。
       例如 DNS

    • 日志来源

  • 网络连接状态

  • TLD

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。