Filtrar datos en la vista Raw Log Scan

Se admite en los siguientes países:

El análisis de registros sin procesar te permite examinar tus registros sin procesar. Cuando ejecutas una búsqueda, Google Security Operations primero examina los datos de seguridad que se transfirieron y analizaron. Si no encuentras la información que buscas, puedes usar el análisis de registros sin procesar para examinar tus registros sin procesar. También puedes usar expresiones regulares para examinar con mayor detalle los registros sin procesar.

Usa el análisis de registros sin procesar para investigar los artefactos que aparecen en los registros, pero que no están indexados, incluidos los siguientes:

  • Nombres de usuario
  • Nombres del archivo
  • Claves del registro
  • Argumentos de la línea de comandos
  • Datos sin procesar relacionados con la solicitud HTTP
  • Nombres de dominio basados en expresiones regulares
  • Nombres y direcciones de los activos

Para usar el análisis de registros sin procesar en Google Security Operations, completa los siguientes pasos:

  1. Ingresa una cadena de búsqueda en la barra de búsqueda de la página de destino o en la barra de menú de la parte superior de la interfaz de usuario de Operaciones de seguridad de Google. Haz clic en BUSCAR.

  2. Selecciona Raw Log Scan en el menú. Google Security Operations abrirá las opciones de análisis de registros sin procesar.

  3. Especifica la hora de inicio y de finalización (el valor predeterminado es 1 semana) y haz clic en BUSCAR.

    En la vista Búsqueda de registros sin procesar, los filtros se basan en un conjunto limitado de eventos, como DNS, Webproxy, EDR y Alert. Los filtros no incluyen información sobre otros tipos de eventos, como GENERIC, EMAIL y USER. Se muestra la vista Raw Log Scan.

    Puedes usar expresiones regulares para buscar y hacer coincidir conjuntos de cadenas de caracteres dentro de tus datos de seguridad con Google Security Operations. Las expresiones regulares te permiten limitar tu búsqueda con fragmentos de información, en lugar de usar un nombre de dominio completo, por ejemplo.

    Las siguientes opciones de filtrado procedimental están disponibles en la vista de análisis de registros sin procesar:

    • TIPO DE EVENTO
    • FUENTE DEL ARCHIVO DE REGISTRO
    • ESTADO DE LA CONEXIÓN DE RED
    • TLD