Daten in der Ansicht "Standard-Logscan" filtern

Unterstützt in:

Mit dem Raw Log Scan können Sie Ihre Rohlogs prüfen, die noch nicht geparst wurden. Wenn Sie eine Suche ausführen, werden in Google Security Operations zuerst die Sicherheitsdaten geprüft, die sowohl aufgenommen als auch analysiert wurden. Wenn die gesuchten Informationen nicht gefunden werden, können Sie mit der Funktion „Raw Log Scan“ Ihre Rohlogs prüfen. Sie können auch reguläre Ausdrücke verwenden, um die Rohprotokolle genauer zu untersuchen.

Mit der Funktion „Raw Log Scan“ können Sie nach Artefakten suchen, die in Logs vorkommen, aber nicht indexiert werden. Dazu gehören:

  • Nutzernamen
  • Dateinamen
  • Registry-Schlüssel
  • Befehlszeilenargumente
  • Rohdaten zu HTTP-Anfragen
  • Domainnamen basierend auf regulären Ausdrücken
  • Asset-Namen und ‑Adressen

So verwenden Sie die Rohlogs-Suche in Google SecOps:

  1. Geben Sie einen Suchstring in die Suchleiste auf der Landingpage oder in die Menüleiste oben in der Google SecOps-Benutzeroberfläche ein. Klicken Sie auf SUCHEN.

  2. Wählen Sie im Menü Raw Log Scan aus. Google SecOps öffnet die Optionen für die Suche in Rohprotokollen.

  3. Geben Sie den Beginn und das Ende an (standardmäßig 1 Woche) und klicken Sie auf SUCHEN.

    In der Ansicht Suche in Rohlogs basieren die Filter auf einer begrenzten Anzahl von Ereignissen wie DNS, Webproxy, EDR und Benachrichtigung. Die Filter enthalten keine Informationen zu anderen Ereignistypen wie „GENERIC“, „EMAIL“ und „USER“. Die Ansicht „Standard-Logscan“ wird angezeigt.

    Mit regulären Ausdrücken können Sie in Google SecOps nach Zeichenfolgen in Ihren Sicherheitsdaten suchen und diese abgleichen. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.

    In der Ansicht „Standard-Logscan“ sind die folgenden Optionen für die prozedurale Filterung verfügbar:

    • PRODUKTEIGNISTYP
    • LOGQUELLE
    • NETZWERKVERBINDUNGSSTATUS
    • TLD

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten