Cette page a été traduite par l'API Cloud Translation.

Effectuer une recherche dans les journaux bruts

Compatible avec :

Google SecOps SIEM

Ce document explique comment utiliser Google Security Operations pour rechercher les journaux bruts ingérés dans votre locataire Google SecOps et obtenir le contexte pertinent, y compris les événements et les entités associés.

Les recherches de journaux bruts mettent en corrélation les événements bruts avec les événements UDM générés. Une recherche dans les journaux bruts vous aide à identifier les lacunes de normalisation et les journaux non analysés qui ne sont pas traités par les analyseurs.

Pour effectuer une recherche dans les journaux bruts :

Accédez à Investigation > Recherche SIEM.
Dans le champ de recherche, ajoutez le préfixe raw = à votre recherche et placez votre terme de recherche entre guillemets (par exemple, raw = "example.com").
Sélectionnez l'option de menu "Recherche dans les journaux bruts". Google SecOps trouve les journaux bruts, les événements UDM et les entités associées. Vous pouvez également effectuer la même recherche (raw = "example.com") sur la page "Recherche UDM".

Vous pouvez utiliser les mêmes filtres rapides que ceux utilisés pour affiner les résultats de recherche UDM. Sélectionnez le filtre que vous souhaitez appliquer aux résultats bruts du journal pour les affiner davantage.

Optimiser les requêtes de journaux bruts

Les recherches dans les journaux bruts sont généralement plus lentes que les recherches UDM. Pour améliorer les performances de recherche, limitez la quantité de données sur lesquelles vous effectuez votre requête en modifiant les paramètres de recherche :

Sélecteur de période : limite la période des données sur lesquelles vous exécutez votre requête.
Sélecteur de source de journaux : limite votre recherche de journaux bruts aux journaux provenant de sources spécifiques, et non à toutes vos sources de journaux. Dans le menu Sources de journaux, sélectionnez une ou plusieurs sources de journaux (la valeur par défaut est toutes).
Expressions régulières : utilisez une expression régulière. Par exemple, raw = /goo\w{3}.com/ correspondrait à google.com, goodle.com et goog1e.com pour limiter davantage le champ d'application de votre recherche de journaux bruts.

Tendance au fil du temps

Utilisez le graphique de tendance pour comprendre la distribution des journaux bruts au cours de la période de votre recherche. Vous pouvez appliquer des filtres au graphique pour rechercher des journaux analysés et bruts. Cliquez sur Flèche vers le bas pour réduire ou développer le graphique.

Résultats des journaux bruts

Lorsque vous effectuez une recherche dans les journaux bruts, les résultats sont une combinaison d'événements et d'entités UDM générés par les journaux bruts correspondant à vos recherches, ainsi que les journaux bruts. Vous pouvez explorer davantage les résultats de recherche en cliquant sur l'un d'eux :

Événement ou entité UDM : si vous cliquez sur un événement ou une entité UDM, Google SecOps affiche les événements et entités associés, ainsi que le journal brut associé à cet élément.
Journal brut : si vous cliquez sur un journal brut, Google SecOps affiche l'intégralité de la ligne du journal brut, ainsi que la source de ce journal.

Télécharger les résultats bruts du journal

Pour télécharger les résultats bruts du journal dans un fichier CSV, dans le tableau des résultats Journal brut, cliquez sur Menu > Télécharger au format CSV.

Par défaut, les données des colonnes Timestamp (Code temporel), Event Type (Type d'événement) et Raw Log (Journal brut) sont enregistrées. Vous pouvez utiliser le gestionnaire de colonnes pour sélectionner les colonnes à télécharger. La colonne Journal brut est toujours incluse.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.