이 페이지는 Cloud Translation API를 통해 번역되었습니다.

원시 로그 검색 수행

다음에서 지원:

Google secops SIEM

이 문서에서는 Google Security Operations를 사용하여 Google SecOps 테넌트에 수집된 원시 로그를 검색하고 연결된 이벤트 및 항목을 비롯한 관련 컨텍스트를 가져오는 방법을 설명합니다.

원시 로그 검색은 원시 이벤트를 생성된 UDM 이벤트와 연관시킵니다. 원시 로그 검색을 사용하면 정규화 격차를 파악하고 파서에서 처리되지 않는 파싱되지 않은 로그를 식별할 수 있습니다.

원시 로그 검색을 수행하려면 다음 단계를 따르세요.

조사 > SIEM 검색으로 이동합니다.
검색창에 검색어 앞에 raw = 프리픽스를 추가하고 검색어를 따옴표로 묶습니다 (예: raw = "example.com").
메뉴 옵션에서 원시 로그 검색을 선택합니다. Google SecOps는 연결된 원시 로그, UDM 이벤트, 연결된 항목을 찾습니다. UDM 검색 페이지에서 동일한 검색 (raw = "example.com")을 실행할 수도 있습니다.

UDM 검색 결과를 상세하게 검색하는 데 사용한 것과 동일한 빠른 필터를 사용할 수 있습니다. 원시 로그 결과에 적용하여 결과를 더 세분화할 필터를 선택합니다.

원시 로그 쿼리 최적화

원시 로그 검색은 일반적으로 UDM 검색보다 느립니다. 검색 성능을 개선하려면 검색 설정을 변경하여 쿼리를 실행하는 데이터 양을 제한하세요.

기간 선택기: 쿼리를 실행할 데이터의 기간을 제한합니다.
로그 소스 선택기: 원시 로그 검색을 모든 로그 소스가 아닌 특정 소스의 로그로만 제한합니다. 로그 소스 메뉴에서 하나 이상의 로그 소스를 선택합니다 (기본값은 모두).
정규 표현식: 정규 표현식을 사용합니다. 예를 들어 raw = /goo\w{3}.com/는 google.com, goodle.com, goog1e.com와 일치하여 원시 로그 검색 범위를 추가로 제한합니다.

추세 그래프를 사용하여 검색 기간 동안의 원시 로그 분포를 파악합니다. 그래프에 필터를 적용하여 파싱된 로그와 원시 로그를 찾을 수 있습니다. 아래쪽 화살표 드롭다운을 클릭하여 그래프를 접거나 펼칩니다.

원시 로그 검색을 실행하면 검색과 일치하는 원시 로그에서 생성된 UDM 이벤트와 엔티티가 원시 로그와 함께 결과로 표시됩니다. 결과를 클릭하여 검색 결과를 자세히 살펴볼 수 있습니다.

UDM 이벤트 또는 항목: UDM 이벤트 또는 항목을 클릭하면 Google SecOps에 관련 이벤트 및 항목과 해당 항목과 연결된 원시 로그가 표시됩니다.
원시 로그: 원시 로그를 클릭하면 Google SecOps에 전체 원시 로그 행과 해당 로그의 소스가 표시됩니다.

원시 로그 결과를 CSV 파일로 다운로드하려면 원시 로그 결과 표에서 메뉴 > CSV로 다운로드를 클릭합니다.

기본적으로 타임스탬프, 이벤트 유형, 원시 로그 열의 데이터가 저장됩니다. 열 관리자를 사용하여 다운로드할 열을 선택할 수 있습니다. 원시 로그 열은 항상 포함됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.