Filtraggio dei dati nella visualizzazione Raw Log Scan (Scansione log non elaborati)
La scansione dei log non elaborati ti consente di esaminare i log non elaborati non elaborati. Quando esegui una ricerca, Google Security Operations esamina innanzitutto i dati di sicurezza che sono stati importati e analizzati. Se le informazioni che stai cercando non vengono trovate, puoi utilizzare la scansione dei log non elaborati per esaminare i log non elaborati non elaborati. Puoi anche utilizzare le espressioni regolari per esaminare più da vicino i log non elaborati.
Utilizza la ricerca nei log non elaborati per esaminare gli elementi che appaiono nei log, ma che non sono stati indicizzati, tra cui:
- Nomi utente
- Nomi file
- Chiavi del registry
- Argomenti della riga di comando
- Dati non elaborati relativi alle richieste HTTP
- Nomi di dominio basati su espressioni regolari
- Nomi e indirizzi delle risorse
Per utilizzare la scansione dei log non elaborati in Google Security Operations, completa i seguenti passaggi:
Inserisci una stringa di ricerca nella barra di ricerca della pagina di destinazione o della barra dei menu nella parte superiore dell'interfaccia utente di Google Security Operations. Fai clic su CERCA.
Seleziona Scansione log non elaborati dal menu. Google Security Operations apre le opzioni di analisi dei log non elaborati.
Specifica l'ora di inizio e l'ora di fine (il valore predefinito è 1 settimana) e fai clic su CERCA.
Nella visualizzazione Ricerca log non elaborati, i filtri si basano su un insieme limitato di eventi come DNS, Webproxy, EDR e avviso. I filtri non includono informazioni su altri tipi di eventi, come GENERIC, EMAIL e USER. Viene visualizzata la visualizzazione Scansione log non elaborati.
Puoi utilizzare le espressioni regolari per cercare e abbinare insiemi di stringhe di caratteri all'interno dei dati sulla sicurezza utilizzando Google Security Operations. Le espressioni regolari ti consentono di restringere la ricerca utilizzando frammenti di informazioni, anziché un nome di dominio completo, ad esempio.
Nella visualizzazione Scansione log non elaborati sono disponibili le seguenti opzioni di filtro procedurale:
- TIPO DI EVENTO
- ORIGINE LOG
- STATO DELLA CONNESSIONE DI RETE
- TLD