Diese Seite wurde von der Cloud Translation API übersetzt.

Unformatierte Logs durchsuchen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie mit Google Security Operations die in Ihren Google SecOps-Mandanten aufgenommenen Rohlogs durchsuchen und relevanten Kontext abrufen können, einschließlich zugehöriger Ereignisse und Entitäten.

Bei Rohlog-Suchen werden Rohereignisse mit den zugehörigen UDM-Ereignissen in Beziehung gesetzt. Mit einer Rohlog-Suche können Sie Normalisierungslücken und nicht geparste Logs ermitteln, die nicht von den Parsern verarbeitet werden.

So führen Sie eine Rohlog-Suche durch:

Gehen Sie zu Untersuchung > SIEM-Suche.
Fügen Sie dem Suchbegriff im Suchfeld das Präfix raw = voran und setzen Sie den Suchbegriff in Anführungszeichen (z. B. raw = "example.com").
Wählen Sie die Rohlog-Suche aus dem Menü aus. Google SecOps findet die zugehörigen Rohlogs, UDM-Ereignisse und zugehörigen Entitäten. Sie können dieselbe Suche (raw = „beispiel.de“) auch auf der Seite „UDM-Suche“ ausführen.

Sie können dieselben Schnellfilter verwenden, die auch zum Verfeinern von UDM-Suchergebnissen verwendet werden. Wählen Sie den Filter aus, den Sie auf die Rohlog-Ergebnisse anwenden möchten, um sie weiter zu verfeinern.

Abfragen für Rohlogs optimieren

Die Suche in Rohlogs ist in der Regel langsamer als die UDM-Suche. Um die Suchleistung zu verbessern, können Sie die Datenmenge, über die Sie Ihre Abfrage ausführen, durch Ändern der Sucheinstellungen begrenzen:

Zeitraumauswahl: Hiermit können Sie den Zeitraum der Daten eingrenzen, für die Sie Ihre Abfrage ausführen.
Auswahl der Logquelle: Damit wird die Suche nach Rohlogs auf Logs aus bestimmten Quellen beschränkt und nicht auf alle Logquellen. Wählen Sie im Menü Log-Quellen eine oder mehrere Log-Quellen aus (standardmäßig alle).
Reguläre Ausdrücke: Verwenden Sie einen regulären Ausdruck. Beispiel: raw = /goo\w{3}.com/ würde mit google.com, goodle.com und goog1e.com abgeglichen, um den Umfang Ihrer Rohlog-Suche weiter einzuschränken.

Trend im Laufe der Zeit

Mithilfe des Trenddiagramms können Sie die Verteilung der Rohlogs im Suchzeitraum nachvollziehen. Sie können Filter auf das Diagramm anwenden, um nach geparsten und Roh-Logs zu suchen. Klicken Sie auf Pfeil nach unten, um das Diagramm zu minimieren oder zu maximieren.

Rohlogergebnisse

Wenn Sie eine Rohlog-Suche ausführen, sind die Ergebnisse eine Kombination aus UDM-Ereignissen und Entitäten, die aus den Rohlogs generiert werden, die Ihren Suchanfragen entsprechen, sowie den Rohlogs selbst. Sie können die Suchergebnisse weiter untersuchen, indem Sie auf eines der Ergebnisse klicken:

UDM-Ereignis oder ‑Entität: Wenn Sie auf ein UDM-Ereignis oder eine UDM-Entität klicken, werden in Google SecOps alle zugehörigen Ereignisse und Entitäten sowie das mit diesem Element verknüpfte Rohlog angezeigt.
Rohlog: Wenn Sie auf einen Rohlog klicken, wird die gesamte Rohlogzeile zusammen mit der Quelle für diesen Log angezeigt.

Rohprotokollergebnisse herunterladen

Wenn Sie die Rohlog-Ergebnisse in eine CSV-Datei herunterladen möchten, klicken Sie in der Ergebnistabelle Rohlog auf Menü > Als CSV-Datei herunterladen.

Standardmäßig werden die Daten in den Spalten Zeitstempel, Ereignistyp und Rohlog gespeichert. Mit dem Spaltenmanager können Sie auswählen, welche Spalten heruntergeladen werden sollen. Die Spalte Rohlog ist immer enthalten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten