未加工ログの検索を行う

以下でサポートされています。

このドキュメントでは、Google Security Operations を使用して、Google SecOps テナントに取り込まれた未加工のログを検索し、関連するイベントやエンティティなどの関連するコンテキストを取得する方法について説明します。

未加工ログ検索では、未加工イベントと生成された UDM イベントが関連付けられます。未加工ログの検索は、正規化のギャップを特定し、パーサーで処理されていない未解析ログを特定するのに役立ちます。

未加工ログの検索を実行する手順は次のとおりです。

  1. [Investigation] > [SIEM Search] に移動します。

  2. 検索フィールドで、検索語に接頭辞 raw = を追加し、検索キーワードを引用符で囲みます(例: raw = "example.com")。

  3. メニュー オプションから未加工ログの検索を選択します。Google SecOps は、関連する未加工ログ、UDM イベント、関連するエンティティを検出します。UDM 検索ページから同じ検索(raw = "example.com")を実行することもできます。

UDM 検索結果の絞り込みに使用したクイック フィルタと同じものを使用できます。未加工のログ結果に適用してさらに絞り込むフィルタを選択します。

未加工ログのクエリを最適化する

通常、未加工ログの検索は UDM 検索よりも時間がかかります。検索のパフォーマンスを改善するには、次の検索設定を変更して、クエリを実行するデータの量を制限します。

  • Time range selector: クエリを実行するデータの期間を制限します。
  • Log Source selector: 未加工ログの検索を、すべてのログソースではなく、特定のソースからのログのみに制限します。[Log sources] メニューで、ログソースを 1 つ以上選択します(デフォルトは [all])。
  • Regular expressions: 正規表現を使用します。たとえば、raw = /goo\w{3}.com/google.comgoodle.comgoog1e.com と照合され、未加工ログ検索の範囲がさらに絞り込まれます。

傾向の推移

トレンドグラフを使用して、検索期間中の未加工ログの分布を把握します。グラフにフィルタを適用して、解析済みログと未加工ログを検索できます。 下矢印をクリックすると、グラフを折りたたんだり展開したりできます。

未加工ログの結果

未加工ログ検索を実行すると、検索に一致する未加工ログによって生成された UDM イベントとエンティティ、および未加工ログが組み合わされた結果が返されます。検索結果をクリックすると、検索結果の詳細を確認できます。

  • UDM イベントまたはエンティティ: UDM イベントまたはエンティティをクリックすると、関連するイベントとエンティティ、およびそのアイテムに関連付けられた未加工のログが表示されます。

  • 未加工ログ: 未加工ログをクリックすると、Google SecOps は未加工ログの行全体と、そのログのソースを表示します。

未加工のログ結果をダウンロードする

未加工のログ結果を CSV ファイルにダウンロードするには、[未加工のログ] 結果テーブルで、 [メニュー] > [CSV 形式でダウンロード] をクリックします。

デフォルトでは、[Timestamp]、[Event Type]、[Raw Log] 列のデータが保存されます。列マネージャーを使用して、ダウンロードする列を選択できます。[Raw Log] 列は常に含まれます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。