要求預建記錄類型及建立自訂記錄類型

本文說明如何處理現有 Google Security Operations 剖析器未處理的記錄資料。在這種情況下，Google SecOps 支援建立記錄類型，以便進行剖析和擷取作業。

你可以選擇下列任一類型：

• 預建記錄類型：您可以要求 Google SecOps 建立及管理預建記錄類型。這些函式會與預先建構及預先設定的剖析器搭配運作。提出要求後 2 至 3 週，所有 Google SecOps 客戶都能使用這些預建記錄類型。

• 自訂記錄類型：由貴機構建立及管理。您必須在內部設定對應的自訂剖析器，自訂記錄類型和剖析器會在建立後 10 分鐘內，於內部 (僅限貴機構) 啟用。

如要瞭解對應的預先建立剖析器和自訂剖析器，請參閱「管理預先建立和自訂剖析器」。

建立自訂記錄類型

如要建立自訂記錄類型，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「可用記錄類型」。您可以使用「搜尋」功能，查看可用的記錄類型。

2. 按一下「要求記錄類型」。

3. 在「自行建立記錄類型」下方，輸入記錄類型的詳細資料。

   舉例來說，如要為 Azure Key Vault 記錄建立自訂記錄類型，請完成下列步驟：

   • 在「廠商/產品」欄位中，輸入 Azure Key Vault logging。

   • 在「Log Type」(記錄類型) 欄位中輸入 AZURE_KEYVAULT_LOGGING。

4. 按一下「建立記錄類型」。

5. 請等待 10 分鐘，確認所有元件都提供新的記錄類型，再使用該類型建立動態消息。

自訂記錄類型限制如下：

• 總計：400

• 每日：25

• 每小時：8

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。