このページは Cloud Translation API によって翻訳されました。

未加工ログ検索でデータをフィルタする

以下でサポートされています。

Google SecOps SIEM

未加工ログ検索を使用すると、未解析のログを調べることができます。検索を実行すると、Google Security Operations はまず、取り込みと解析の両方が完了したセキュリティデータを調べます。探している情報が見つからない場合は、未加工ログ検索を使用して、解析されていない未加工のログを調べることができます。

未加工ログ検索を使用して、次のような、ログに表示されるているもののインデックスに登録されていないアーティファクトを調査します。

ユーザー名
ファイル名
レジストリキー
コマンドライン引数
未加工の HTTP リクエスト関連データ
正規表現に基づくドメイン名
アセットの名前とアドレス

Google SecOps で未加工ログ検索を使用する手順は次のとおりです。

検索バーに検索文字列または正規表現を入力し、[検索] をクリックします。
メニューで [Raw Log Search] を選択して、検索オプションを表示します。
[開始時間] と [終了時間]（デフォルトは 1 週間）を指定し、[検索] をクリックします。

[未加工ログ検索] ビューには、未加工データイベントが表示されます。結果は、DNS、Webproxy、EDR、Alert でフィルタできます。

注: これらのフィルタは、GENERIC、EMAIL、USER などのイベントタイプには適用されません。
正規表現を使用すると、Google SecOps を使用してセキュリティデータ内の文字列のセットを検索し、照合できます。正規表現を使用すると、例えば完全なドメイン名を使用するのではなく、情報の断片を使って検索を絞り込むことができます。

[Raw Log Search] ビューでは、次の [Procedural Filtering] オプションを使用できます。
- 商品イベントタイプ
  
  注: SecOps コンソールの以前の [Raw Log Search] ページで、ビュー間でイベントの表示方法に不整合があることがわかっています。
  ● [Raw Log] ビュー:
     未加工の event_log_type 値に基づいて [Event type] を表示します。
     たとえば FILE_COPY。
  ● [UDM イベントフィールド] ビュー:
     event_log_type の値に基づいて metadata.event_type フィールドを表示します。
     たとえば FILE_COPY。
  ● [Procedural Filtering] ビュー:
     network.application_protocol 値に基づいて [Event type] フィールドを表示します。
     たとえば DNS。
- ログソース
- ネットワーク接続ステータス
- TLD

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。