Cómo filtrar datos en la Búsqueda de registros sin procesar
Búsqueda de registros sin procesar te permite examinar tus registros sin procesar sin analizar. Cuando ejecutas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron y analizaron. Si no encuentras la información que buscas, puedes usar la Búsqueda de registros sin procesar para examinar tus registros sin procesar sin analizar.
Usa la Búsqueda de registros sin procesar para investigar los artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:
- Nombres de usuario
- Nombres del archivo
- Claves de registro
- Argumentos de la línea de comandos
- Datos sin procesar relacionados con la solicitud HTTP
- Nombres de dominio basados en expresiones regulares
- Nombres y direcciones de los recursos
Para usar la Búsqueda de registros sin procesar en Google SecOps, haz lo siguiente:
En la barra de búsqueda, ingresa tu cadena de búsqueda o expresiones regulares y, luego, haz clic en Buscar.
En el menú, selecciona Raw Log Search para mostrar las opciones de búsqueda.
Especifica la Hora de inicio y la Hora de finalización (la configuración predeterminada es 1 semana) y haz clic en Buscar.
En la vista Búsqueda de registros sin procesar, se muestran los eventos de datos sin procesar. Puedes filtrar los resultados por
DNS,Webproxy,EDRyAlert.Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres en tus datos de seguridad con Google SecOps. Las expresiones regulares te permiten reducir tu búsqueda con fragmentos de información, en lugar de usar un nombre de dominio completo, por ejemplo.
Las siguientes opciones de Procedural Filtering están disponibles en la vista Raw Log Search:
Tipo de evento del producto
Fuente de registro
Estado de la conexión de red
TLD
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.