在“原始日志搜索”中过滤数据

借助原始日志搜索，您可以检查未解析的原始日志。当您执行搜索时，Google Security Operations 首先会检查已提取和解析的安全数据。如果找不到您要搜索的信息，您可以使用原始日志搜索来检查未解析的原始日志。

使用原始日志搜索功能来调查日志中有日志但尚未编入索引的工件，具体包括：

• 用户名
• 文件名
• 注册表项
• 命令行参数
• 原始 HTTP 请求相关数据
• 基于正则表达式的域名
• 资源名称和地址

如需在 Google SecOps 中使用原始日志搜索，请执行以下操作：

1. 在搜索栏中，输入搜索字符串或正则表达式，然后点击搜索。

2. 在菜单中，选择原始日志搜索以显示搜索选项。

3. 指定开始时间和结束时间（默认为 1 周），然后点击搜索。

   原始日志搜索视图会显示原始数据事件。您可以按 DNS、Webproxy、EDR 和 Alert 过滤结果。

   您可以使用正则表达式在 Google SecOps 中搜索和匹配安全数据中的字符串集。与使用完整的域名（例如）相反，正则表达式可让您使用信息片段来缩小搜索范围。

   原始日志搜索视图中提供了以下过程过滤选项：

   • 产品事件类型

   • 日志来源

   • 网络连接状态

   • TLD

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。