Mit der Rohlogsuche können Sie Ihre unformatierten, nicht geparsten Logs untersuchen. Wenn Sie eine Suche ausführen, werden in Google Security Operations zuerst die Sicherheitsdaten untersucht, die sowohl aufgenommen als auch geparst wurden. Wenn die gesuchten Informationen nicht gefunden werden, können Sie die Rohlog-Suche verwenden, um Ihre unaufbereiteten, nicht geparsten Logs zu untersuchen.
Mit der Rohlogsuche können Sie Artefakte untersuchen, die in Logs enthalten sind, aber nicht indexiert werden, z. B.:
Nutzernamen
Dateinamen
Registrierungsschlüssel
Befehlszeilenargumente
Rohdaten zu HTTP-Anfragen
Domainnamen basierend auf regulären Ausdrücken
Namen und Adressen von Assets
So verwenden Sie die Rohlog-Suche in Google SecOps:
Geben Sie in der Suchleiste Ihren Suchstring oder Ihre regulären Ausdrücke ein und klicken Sie dann auf Suchen.
Wählen Sie im Menü Rohlog-Suche aus, um die Suchoptionen aufzurufen.
Geben Sie die Startzeit und die Endzeit an (standardmäßig ist eine Woche festgelegt) und klicken Sie auf Suchen.
In der Ansicht Rohdaten-Logs werden Rohdatenereignisse angezeigt. Sie können die Ergebnisse nach DNS, Webproxy, EDR und Alert filtern.
Mit Google SecOps können Sie reguläre Ausdrücke verwenden, um in Ihren Sicherheitsdaten nach Gruppen von Zeichenfolgen zu suchen und diese abzugleichen. Mit regulären Ausdrücken können Sie Ihre Suche eingrenzen, indem Sie beispielsweise nur Teile von Informationen verwenden, anstatt eines vollständigen Domainnamens.
Die folgenden Optionen für prozedurales Filtern sind in der Ansicht Standard-Logsuche verfügbar:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-16 (UTC)."],[[["Raw Log Scan allows users to examine unparsed logs within Google Security Operations when the information is not found in the parsed data."],["Users can search for artifacts like usernames, filenames, registry keys, and more within logs, even if the information is not indexed."],["Regular expressions can be used in Raw Log Scan to search and match character strings within security data, narrowing searches to information fragments."],["The Raw Log Scan view includes filters based on events such as DNS, Webproxy, EDR, and Alert, but not GENERIC, EMAIL, or USER event types."],["To search on Raw Log Scan you must specify the start and end time, and then the scan will begin."]]],[]]
