在“原始日志扫描”视图中过滤数据

借助原始日志扫描，您可以检查未解析的原始日志。当您执行搜索时，Google Security Operations 首先会检查已提取和解析的安全数据。如果找不到您要搜索的信息，您可以使用原始日志扫描来检查未解析的原始日志。您还可以使用正则表达式更仔细地检查原始日志。

使用“原始日志扫描”功能来调查日志中有日志但尚未编入索引的工件，具体包括：

• 用户名
• 文件名
• 注册表项
• 命令行参数
• 原始 HTTP 请求相关数据
• 基于正则表达式的域名
• 资源名称和地址

如需在 Google Security Operations 中使用 RAW 日志扫描，请完成以下步骤：

1. 在着陆页或 Google 安全运营界面顶部菜单栏中的搜索栏中输入搜索字符串。点击搜索。

2. 从菜单中选择原始日志扫描。Google Security Operations 会打开“原始日志扫描”选项。

3. 指定开始时间和结束时间（默认为 1 周），然后点击搜索。

   在原始日志搜索视图中，过滤条件基于一组有限的事件（例如 DNS、Webproxy、EDR 和提醒）而定。这些过滤条件不包含与其他事件类型（例如“GENERIC”“EMAIL”和“USER”）相关的信息。系统随即会显示“原始日志扫描”视图。

   您可以使用正则表达式在 Google Security Operations 中搜索和匹配安全数据中的字符串集。正则表达式允许您使用信息片段（而不是使用完整的域名等信息）缩小搜索范围。

   “原始日志扫描”视图中提供了以下过程过滤选项：

   • 事件类型
   • 日志源
   • 网络连接状态
   • TLD

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。