在原始記錄搜尋中篩選資料

支援的國家/地區:

本文說明如何使用搜尋列篩選原始記錄,您可以在到達網頁或專屬的「搜尋」頁面存取搜尋列。

選擇下列其中一種做法:

使用 raw= 格式

使用 raw= 格式時,請使用下列參數篩選原始記錄:

  • parsed:根據記錄的剖析狀態篩選記錄。

    • parsed=true:只傳回已剖析的記錄。
    • parsed=false:只會傳回未剖析的記錄。

  • log_source=IN["log_source_name1", "log_source_name2"]:依記錄類型篩選。

使用原始記錄搜尋提示 (舊版方法)

如要使用「原始記錄搜尋」提示篩選原始記錄,請按照下列步驟操作:

  1. 在搜尋列中輸入搜尋字串或規則運算式,然後按一下「搜尋」

  2. 在選單中選取「原始記錄搜尋」,即可顯示搜尋選項。

  3. 指定「開始時間」和「結束時間」 (預設為 1 週),然後按一下「搜尋」

    「原始記錄搜尋」檢視畫面會顯示原始資料事件。你可以依 DNSWebproxyEDRAlert 篩選結果。注意:這些篩選器不適用於 GENERICEMAILUSER 等事件類型。

您可以使用規則運算式,在 Google SecOps 中搜尋及比對安全性資料內的字元字串集。規則運算式可讓您使用資訊片段縮小搜尋範圍,例如使用部分網域名稱。

「原始記錄搜尋」檢視畫面提供下列「程序篩選」選項:

  • 產品事件類型

    在 SecOps Console 舊版「原始記錄搜尋」頁面中,不同檢視畫面顯示事件的方式不一致,這是已知問題:
    ●「原始記錄」檢視畫面:
       根據原始 event_log_type 值顯示「事件類型」
       例如 FILE_COPY
    ●「UDM 事件欄位」檢視畫面:
       根據 event_log_type 值顯示 metadata.event_type 欄位。
       例如 FILE_COPY
    ●「程序篩選」檢視畫面:
       根據 network.application_protocol 值顯示「事件類型」欄位。
       例如:DNS

    • 記錄來源

  • 網路連線狀態

  • TLD

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。