在原始記錄檔搜尋中篩選資料

原始記錄搜尋功能可讓您檢查未經剖析的原始記錄。執行搜尋時，Google Security Operations 會先檢查已擷取及剖析的安全資料。如果找不到所需資訊，可以使用原始記錄搜尋功能檢查未經剖析的原始記錄。

使用「原始記錄搜尋」調查記錄中顯示但未編入索引的構件，包括：

• 使用者名稱
• 檔案名稱
• 登錄檔機碼
• 指令列引數
• 與原始 HTTP 要求相關的資料
• 根據規則運算式設定網域名稱
• 資產名稱和地址

如要在 Google SecOps 中使用「原始記錄搜尋」，請按照下列步驟操作：

1. 在搜尋列中輸入搜尋字串或規則運算式，然後按一下「搜尋」。

2. 在選單中選取「原始記錄搜尋」，即可顯示搜尋選項。

3. 指定「開始時間」和「結束時間」 (預設為 1 週)，然後按一下「搜尋」。

   「原始記錄搜尋」檢視畫面會顯示原始資料事件。你可以依 DNS、Webproxy、EDR 和 Alert 篩選結果。

   您可以使用規則運算式，在 Google SecOps 中搜尋及比對安全性資料內的字元字串集。規則運算式可讓您使用資訊片段縮小搜尋範圍，例如使用部分網域名稱。

   「原始記錄搜尋」檢視畫面提供下列「程序篩選」選項：

   • 產品事件類型

   • 記錄來源

   • 網路連線狀態

   • TLD

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。