管理预构建和自定义解析器
本文档介绍了如何使用解析器管理功能创建自定义解析器,或选择启用或停用 Google 安全运营团队发起的预构建解析器更新。
对预构建解析器的更改会以候选版本的形式定期发布。在候选版本发布期间,您可以选择使用待处理的更改更新一个或多个解析器。每 4 周,当待处理的解析器更改晋升为默认更改时,待处理的更新会自动变为有效。评估更改所需的时间取决于更改在候选版本发布期内的发布时间。
借助解析器管理功能,您可以在候选版本发布期间检查和测试更新。您可以查看预构建解析器的过往更改列表,还可以查看即将发生的发布节奏变更。然后,您可以选择接受或拒绝更新。
此外,您还可以使用 Google Security Operations 灵活地为没有预构建解析器的日志类型创建自定义解析器。您可以直接从原始日志创建一个全新的解析器,也可以使用现有解析器作为新的自定义解析器的基础。您可以通过为预构建的解析器或自定义解析器创建解析器扩展程序来扩展映射说明。
各种类型的解析器如下:
解析器类型 | 说明 |
---|---|
预构建 | 由 Google Security Operations 创建的解析器,包含用于将原始日志数据转换为 UDM 字段的内置数据映射说明。 |
预构建版本已延期 | 客户创建的预构建解析器,包含额外的映射说明,用于从原始原始日志中提取其他数据并将其插入 UDM 记录。 |
自定义 | 客户使用自定义数据映射说明创建的解析器,用于将原始日志数据转换为 UDM 字段。 |
自定义扩展 | 客户创建的自定义解析器,其中包含使用解析器扩展程序提供的额外映射说明,用于从原始原始日志中提取其他数据并将其插入 UDM 记录。 |
准备工作
以下文档介绍了管理解析器更新的重要前提概念:
根据映射说明创建自定义解析器
您可以编写代码来将原始原始日志转换为 UDM 记录,从而创建自定义解析器。如需了解解析器的结构,请参阅日志解析概览;如需了解语法,请参阅解析器语法参考文档。创建解析器时,请确保数据映射说明会填充尽可能多的重要 UDM 字段。
在导航栏中,依次选择设置 > SIEM 设置。
点击创建解析器。
从 Log Source(日志来源)列表中选择适当的日志来源。
选择仅从原始日志开始,以根据您的要求创建新的解析器。
点击创建。
在解析器代码终端中输入代码。如需了解详情,请参阅创建代码段映射指令。
可选:点击
可修改现有原始日志或副本。可选:点击
以加载最新的原始日志。点击预览以查看 UDM 输出。如果代码不正确,系统会显示错误消息。
在预览版中,您可以使用 statedump 过滤器插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证过程可能需要几分钟时间,因此我们建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交。
系统会在 20 分钟后选择解析器进行规范化。
基于现有解析器创建自定义解析器
您可以使用现有解析器作为模板来创建新的解析器。您只能使用代码方法创建自定义解析器。如需根据现有解析器创建自定义解析器,请按以下步骤操作:
在
应用菜单中,依次选择设置 > 解析器。点击创建解析器。
从 Log Source(日志来源)列表中选择适当的日志来源。
选择从现有的预构建解析器开始,以使用现有解析器为基础创建新的自定义解析器。
点击创建。
在解析器代码终端中修改代码。如需了解详情,请参阅创建代码段映射指令。
可选:点击
可修改原始日志。可选:点击
以刷新原始日志。在添加代码以构建解析器时,点击预览以查看 UDM 输出。如果代码不正确,系统会显示错误消息。
在预览版中,您可以使用 statedump 过滤器插件来验证解析器的内部状态。如需了解详情,请参阅使用 statedump 插件验证数据。
点击验证以验证自定义解析器。
验证过程可能需要几分钟时间,因此建议您先预览自定义解析器,根据需要进行更改,然后再验证自定义解析器。
点击提交。
系统会在 20 分钟后选择解析器进行规范化。
管理预构建解析器更新
当 Google 安全运营团队发布解析器更新时,这些更新会在 15 天内处于待处理状态。如需选择启用或停用解析器更新,请执行以下操作,检查旧版解析器与新版解析器之间的差异:
登录您的 Google Security Operations 实例。
在
应用菜单中,依次选择设置 > 解析器。点击
过滤。从列表中选择预构建、有效和预构建(扩展)。
系统会显示您当前使用的预构建解析器。预构建解析器是 Google Security Operations 发布的默认解析器。如果 Update(更新)列的状态为 Pending(待处理),则表示解析器有可供您检查的更新。
点击
Menu(菜单),然后从列表中选择 View pending update(查看待处理的更新)。系统随即会显示比较解析器页面。您可以在此处查看以下内容:
当前解析器版本与即将发布的解析器版本之间的代码差异
更新日志标签页中的更新日志
为所采样原始日志生成的 UDM 事件
解析器的创建日期和时间
上次更新解析器代码的日期和时间
您可以选择提前接受更新、等待 15 天后自动应用更新,也可以选择不接受更新。
提前选择接收解析器更新
借助解析器管理功能,您可以抢先选择启用解析器更新并对其进行测试。只有在使用预构建解析器的情况下,您才能提前选择接受解析器更新。提前选择启用后,您可以在更新发布后的 15 天内将解析器还原为其较低版本。如需抢先参与更新,请按以下步骤操作:
在比较解析器页面上,点击启用解析器更新。
系统会显示确认解析器更新对话框。
点击确认。
系统会在 20 分钟后选择解析器进行规范化。
停用解析器更新
如需停用当前和未来的解析器更新,请创建自定义解析器。您可以将当前或更新后的解析器版本用作自定义解析器。您将会看到自定义解析器的所有未来更新,但除非您选择接受更新,否则这些更新不会应用。如需停用当前或未来的更新,请按以下步骤操作:
在比较解析器页面上,点击跳过更新。
系统随即会显示跳过更新并创建自定义解析器窗口。
点击创建自定义解析器。
如需将默认解析器版本设置为自定义解析器,请选择预构建解析器。如需将更新后的版本设为自定义解析器,请选择待处理的解析器更新。
点击创建。
系统会在 20 分钟后选择要进行标准化的版本。它会在解析器页面的解析器列表中显示为自定义和有效。较早的预构建版本显示为预构建和无效。
管理自定义解析器更新
当您选择停用预构建解析器更新时,系统会创建一个自定义解析器。自定义解析器会以新条目的形式显示在解析器列表中。
使自定义解析器处于非活动状态
在
应用菜单中,依次选择设置 > 解析器。针对要停用的解析器点击
Menu(菜单),然后从列表中选择 Make inactive(停用)。系统会显示使解析器处于非活动状态对话框。
点击设为无效。
自定义解析器会在 20 分钟后停用,系统会启用默认解析器版本。也就是说,自定义解析器会变成预构建解析器。如果您使用更新从预构建解析器创建了自定义解析器,那么当您将自定义解析器还原为预构建解析器时,这些更新会丢失。您必须再次选择启用解析器更新。
删除自定义解析器
在
应用菜单中,依次选择设置 > 解析器。针对要删除的解析器点击
Menu,然后从列表中选择 Delete。系统随即会显示 Delete custom parser(删除自定义解析器)对话框。
点击删除。
自定义解析器会在 20 分钟后被删除,系统会激活默认解析器版本。也就是说,自定义解析器会变成预构建解析器。如果您使用更新从预构建解析器创建了自定义解析器,那么当您将自定义解析器还原为预构建解析器时,这些更新会丢失。您必须再次选择启用解析器更新。
创建扩展程序
您可以通过定义自定义映射说明来扩展自定义解析器或预构建解析器,以便从原始原始日志中提取其他数据。您可以将数据插入到自定义解析器生成的 UDM 记录中。您无法使用解析器扩展程序创建新的解析器。
如需了解如何创建解析器扩展程序,请参阅使用解析器扩展程序。
还原预构建解析器的早期更新
如果您已提前选择接受解析器更新,则可以在 15 天内恢复为之前的版本。如需切换回之前的解析器版本,请按以下步骤操作:
在
应用菜单中,依次选择设置 > 解析器。针对要还原的解析器,点击
Menu。点击查看。
系统随即会显示查看预构建的解析器页面。
点击还原为上一个版本。
系统随即会显示还原为上一个对话框。您可以点击该对话框中的比较解析器,查看当前版本与上一个版本之间的差异。
点击确认,将解析器还原为其先前版本。
解析器会在 20 分钟后还原为之前的版本。
控制对解析器管理的访问权限
默认情况下,具有管理员和编辑者角色的用户可以管理解析器更新。您可以授予新权限,以控制哪些人可以查看和管理解析器更新。如需详细了解如何管理用户和群组或分配角色,请参阅基于角色的访问权限控制用户指南。