本頁面由 Cloud Translation API 翻譯而成。

執行原始記錄搜尋

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Security Operations 搜尋擷取至 Google SecOps 租戶的原始記錄，並取得相關背景資訊，包括相關事件和實體。

原始記錄搜尋會將原始事件與產生的 UDM 事件建立關聯。原始記錄搜尋功能可協助您找出正規化缺口，以及未經剖析器處理的未剖析記錄。

如要執行原始記錄搜尋，請按照下列步驟操作：

依序前往「調查」> SIEM 搜尋」。
在搜尋欄位中，在搜尋字詞前面加上前置字串 raw = ，並用引號括住搜尋字詞 (例如 raw = "example.com")。
從選單選項中選取原始記錄搜尋。Google SecOps 會找出相關的原始記錄、UDM 事件和相關實體。您也可以從 UDM 搜尋頁面執行相同搜尋 (raw = "example.com")。

您可以使用與修正 UDM 搜尋結果相同的快速篩選器。選取要套用至原始記錄結果的篩選器，進一步修正結果。

最佳化原始記錄查詢

原始記錄搜尋通常比 UDM 搜尋慢。如要提升搜尋成效，請變更搜尋設定，限制查詢的資料量：

時間範圍選取器：限制您執行查詢的資料時間範圍。
記錄來源選取器：將原始記錄搜尋範圍限制為僅來自特定來源的記錄，而非所有記錄來源。在「記錄來源」選單中，選取一或多個記錄來源 (預設為「全部」)。
規則運算式：使用規則運算式。舉例來說，raw = /goo\w{3}.com/ 會比對 google.com、goodle.com、goog1e.com，進一步縮小原始記錄搜尋範圍。

使用趨勢圖瞭解搜尋期間原始記錄的分佈情形。您可以在圖表上套用篩選器，尋找已剖析的記錄和原始記錄。按一下「箭頭」下拉式選單，即可收合或展開圖表。

執行原始記錄搜尋時，結果會包含與搜尋條件相符的原始記錄所產生的 UDM 事件和實體，以及原始記錄。如要進一步探索搜尋結果，請點選任一結果：

如要將原始記錄結果下載為 CSV 檔案，請在「原始記錄」結果表格中，依序點選「選單」圖示 >「下載為 CSV」。

根據預設，系統會儲存「時間戳記」、「事件類型」和「原始記錄」欄中的資料。您可以使用資料欄管理工具選取要下載的資料欄。系統一律會顯示「原始記錄」欄。