Filtrer les données dans la vue d'analyse des journaux bruts

Compatible avec:

L'analyse des journaux bruts vous permet d'examiner vos journaux bruts non analysés. Lorsque vous effectuez une recherche, Google Security Operations examine d'abord les données de sécurité qui ont été ingérées et analysées. Si les informations que vous recherchez ne sont pas trouvées, vous pouvez utiliser l'analyse des journaux bruts pour examiner vos journaux bruts non analysés. Vous pouvez également utiliser des expressions régulières pour examiner plus en détail les journaux bruts.

Utilisez l'analyse des journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés, y compris:

  • Noms d'utilisateur
  • Noms de fichiers
  • Clés de registre
  • Arguments de ligne de commande
  • Données brutes liées aux requêtes HTTP
  • Noms de domaine basés sur des expressions régulières
  • Noms et adresses des établissements

Pour utiliser l'analyse des journaux bruts dans Google Security Operations, procédez comme suit:

  1. Saisissez une chaîne de recherche dans la barre de recherche de la page de destination ou de la barre de menu en haut de l'interface utilisateur de Google Security Operations. Cliquez sur RECHERCHER.

  2. Sélectionnez Analyse du journal brut dans le menu. Google Security Operations ouvre les options d'analyse des journaux bruts.

  3. Indiquez l'heure de début et l'heure de fin (par défaut, une semaine), puis cliquez sur RECHERCHER.

    Dans la vue Recherche de journaux bruts, les filtres sont basés sur un ensemble limité d'événements tels que DNS, Webproxy, EDR et Alert. Les filtres n'incluent pas d'informations sur d'autres types d'événements tels que GENERIC, EMAIL et USER. La vue "Analyse des journaux bruts" s'affiche.

    Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Google Security Operations. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, par opposition à l'utilisation d'un nom de domaine complet, par exemple.

    Les options de filtrage procédural suivantes sont disponibles dans la vue d'analyse des journaux bruts:

    • TYPE D'ÉVÉNEMENT
    • SOURCE DE JOURNAL
    • ÉTAT DE LA CONNEXION AU RÉSEAU
    • TLD