请求预构建日志类型和创建自定义日志类型

支持的平台:

本文档介绍了一些选项,可帮助您处理现有 Google Security Operations 解析器无法处理的日志数据。在这种情况下,Google SecOps 支持创建日志类型,以便进行解析和提取。

您可以从以下类型中进行选择:

  • 预构建日志类型:您可以请求 Google SecOps 创建和管理预构建日志类型。这些解析器可与预构建的预配置解析器搭配使用。在您提交请求后的 2-3 周内,这些预构建日志类型将面向所有 Google SecOps 客户提供。

  • 自定义日志类型:由贵组织创建和管理。您需要在内部配置相应的自定义解析器,自定义日志类型和解析器会在创建 10 分钟后在内部(仅供贵组织使用)提供。

如需了解相应的预构建解析器自定义解析器,请参阅管理预构建解析器和自定义解析器

创建自定义日志类型

如需创建自定义日志类型,请执行以下操作:

  1. 依次前往 SIEM 设置 > 可用日志类型。您可以使用搜索功能查看可用日志类型。

  2. 点击申请日志类型

  3. 自行创建自定义日志类型下,输入日志类型的详细信息。

    例如,如需为 Azure Key Vault 日志记录创建自定义日志类型,请完成以下操作:

    • 供应商/产品字段中,输入 Azure Key Vault logging

    • 日志类型字段中,输入 AZURE_KEYVAULT_LOGGING

  4. 点击创建日志类型

  5. 请等待 10 分钟,确保新日志类型在所有组件中都已可用,然后再使用该类型创建 Feed。

自定义日志类型的限制如下:

  • 总计:400

  • 每日:25

  • 每小时:8

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。