Filtrer les données dans la recherche dans les journaux bruts
La recherche de journaux bruts vous permet d'examiner vos journaux bruts non analysés. Lorsque vous exécutez une recherche, Google Security Operations examine d'abord les données de sécurité qui ont été ingérées et analysées. Si vous ne trouvez pas les informations que vous recherchez, vous pouvez utiliser la recherche dans les journaux bruts pour examiner vos journaux bruts non analysés.
Utilisez la recherche de journaux bruts pour examiner les artefacts qui apparaissent dans les journaux, mais qui ne sont pas indexés, y compris :
- Noms d'utilisateur
- Noms de fichiers
- Clés de registre
- Arguments de ligne de commande
- Données brutes liées aux requêtes HTTP
- Noms de domaine basés sur des expressions régulières
- Noms et adresses des composants
Pour utiliser la recherche de journaux bruts dans Google SecOps, procédez comme suit :
Dans la barre de recherche, saisissez votre chaîne de recherche ou vos expressions régulières, puis cliquez sur Rechercher.
Dans le menu, sélectionnez Recherche dans les journaux bruts pour afficher les options de recherche.
Indiquez l'heure de début et l'heure de fin (par défaut, une semaine), puis cliquez sur Rechercher.
La vue Recherche dans les journaux bruts affiche les événements de données brutes. Vous pouvez filtrer les résultats par
DNS,Webproxy,EDRetAlert.Vous pouvez utiliser des expressions régulières pour rechercher et faire correspondre des ensembles de chaînes de caractères dans vos données de sécurité à l'aide de Google SecOps. Les expressions régulières vous permettent d'affiner votre recherche à l'aide de fragments d'informations, au lieu d'utiliser un nom de domaine complet, par exemple.
Les options de filtrage procédural suivantes sont disponibles dans la vue Recherche dans les journaux bruts :
Type d'événement produit
Source du journal
État de la connexion réseau
TLD
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.