执行原始日志搜索

支持的平台:

本文档介绍了如何使用 Google Security Operations 搜索注入到 Google SecOps 租户中的原始日志,并获取相关背景信息,包括关联的事件和实体。

原始日志搜索会将原始事件与其生成的 UDM 事件相关联。原始日志搜索有助于您发现归一化差距,并识别未被解析器处理的未解析日志。

如需执行原始日志搜索,请按以下步骤操作:

  1. 依次前往调查 > SIEM 搜索

  2. 在搜索字段中,在搜索内容前添加前缀 raw = ,并将搜索字词括在英文引号中(例如 raw = "example.com")。

  3. 从菜单选项中选择原始日志搜索。Google SecOps 会查找关联的原始日志、UDM 事件和关联的实体。您还可以从“UDM 搜索”页面运行相同的搜索(raw = "example.com")。

您可以使用与优化 UDM 搜索结果相同的快速过滤条件。选择要应用于原始日志结果的过滤条件,以进一步优化结果。

优化原始日志查询

原始日志搜索通常比 UDM 搜索慢。如需提高搜索效果,请更改搜索设置,以限制查询的数据量:

  • 时间范围选择器:限制您运行查询的数据的时间范围。
  • 日志来源选择器:将原始日志搜索范围限制为仅来自特定来源的日志,而不是所有日志来源。在日志来源菜单中,选择一个或多个日志来源(默认值为全部)。
  • 正则表达式:使用正则表达式。例如,raw = /goo\w{3}.com/ 将与 google.comgoodle.comgoog1e.com 进行匹配,以进一步限制原始日志搜索的范围。

随时间变化的趋势

使用趋势图了解原始日志在搜索时间范围内的分布情况。您可以在图表上应用过滤条件,以查找已解析的日志和原始日志。点击 下拉箭头可收起或展开图表。

原始日志结果

运行原始日志搜索时,结果是 UDM 事件和实体(由与搜索匹配的原始日志生成)以及原始日志的组合。您可以点击任意搜索结果,进一步探索:

  • UDM 事件或实体:如果您点击某个 UDM 事件或实体,Google SecOps 会显示所有相关事件和实体,以及与该项关联的原始日志。

  • 原始日志:如果您点击原始日志,Google SecOps 会显示整个原始日志行以及相应日志的来源。

下载原始日志结果

如需将原始日志结果下载到 CSV 文件中,请在原始日志结果表格中,依次点击 菜单 > 下载为 CSV

默认情况下,系统会保存时间戳事件类型原始日志列中的数据。您可以使用列管理器选择要下载的列。始终包含原始日志列。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。