请求预构建日志类型和创建自定义日志类型

支持的语言:

本文档介绍了可帮助您处理现有 Google Security Operations 解析器未处理的日志数据的选项。在这种情况下,Google SecOps 支持创建日志类型,以便进行解析和注入。

您可以从以下类型中进行选择:

  • 预构建日志类型:您可以请求 Google SecOps 创建和管理预构建日志类型。这些功能与预构建和预配置的解析器协同运作。在您提出请求后的 2-3 周内,所有 Google SecOps 客户都可以使用这些预构建日志类型。

  • 自定义日志类型:由您的组织创建和管理。您需要在内部配置相应的自定义解析器,这样自定义日志类型和解析器在创建 10 分钟后即可在内部(仅供您的组织)使用。

如需了解相应的预建解析器自定义解析器,请参阅管理预建解析器和自定义解析器

创建自定义日志类型

如需创建自定义日志类型,请执行以下操作:

  1. 依次前往 SIEM 设置 > 可用日志类型。您可以使用搜索功能查看可用的日志类型。

  2. 点击申请记录类型

  3. 自行创建自定义日志类型下,输入日志类型的详细信息。

    例如,如需为 Azure Key Vault 日志记录创建自定义日志类型,请完成以下操作:

    • 供应商/产品字段中,输入 Azure Key Vault logging

    • 日志类型字段中,输入 AZURE_KEYVAULT_LOGGING

  4. 点击创建日志类型

  5. 等待 10 分钟,确保新日志类型在所有组件中都可用,然后再使用该日志类型创建 Feed。

自定义日志类型限制如下:

  • 总计:400

  • 每日:25

  • 每小时:8

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。