Unformatierte Logs durchsuchen

Unterstützt in:

Mit Google Security Operations können Sie die Rohlogs in Ihrem Google SecOps-Konto durchsuchen und relevanten Kontext mit zugehörigen Ereignissen und Entitäten abrufen.

Bei Rohlog-Suchanfragen wird die Korrelation zwischen Rohereignissen und den UDM-Ereignissen angezeigt, die anhand dieser Rohlogs generiert wurden. Mit einer Rohlogsuche können Sie nachvollziehen, wie Logfelder geparst und normalisiert werden, und etwaige Lücken im Normalisierungsprozess untersuchen.

Nachdem Sie eine Rohlog-Suche abgeschlossen haben, wird jede übereinstimmende Rohlogzeile durch die in der Logzeile enthaltenen Ereignisse und Entitäten ersetzt. Die Anzahl der Ereignisse und Entitäten, die aus jeder Logzeile extrahiert werden, ist auf maximal 10 begrenzt.

So führen Sie eine Suche in Rohlogs durch:

  1. Gehen Sie zu Prüfung > SIEM-Suche.

  2. Fügen Sie dem Suchbegriff im Suchfeld das Präfix raw = voran und setzen Sie den Suchbegriff in Anführungszeichen (z. B. raw = "example.com").

  3. Wählen Sie die Rohlog-Suche aus dem Menü aus. Google SecOps findet die zugehörigen Rohlogs, UDM-Ereignisse und zugehörigen Entitäten. Sie können dieselbe Suche (raw = „beispiel.de“) auch auf der Seite „UDM-Suche“ ausführen.

Sie können dieselben Schnellfilter verwenden, die auch zum Verfeinern von UDM-Suchergebnissen verwendet werden. Wählen Sie den Filter aus, den Sie auf die Rohlog-Ergebnisse anwenden möchten, um sie weiter zu verfeinern.

Abfragen für Rohlogs optimieren

Die Suche in Rohlogs ist in der Regel langsamer als die UDM-Suche. Um die Suchleistung zu verbessern, können Sie die Datenmenge, über die Sie Ihre Abfrage ausführen, durch Ändern der Sucheinstellungen begrenzen:

  • Zeitraumauswahl: Hiermit lässt sich der Zeitraum der Daten eingrenzen, für die Sie Ihre Abfrage ausführen.
  • Auswahl der Logquelle: Damit wird die Suche nach Rohlogs auf Logs aus bestimmten Quellen beschränkt und nicht auf alle Logquellen. Wählen Sie im Menü Log-Quellen eine oder mehrere Log-Quellen aus (standardmäßig alle).
  • Reguläre Ausdrücke: Verwenden Sie einen regulären Ausdruck. Beispiel: raw = /goo\w{3}.com/ würde mit google.com, goodle.com und goog1e.com abgeglichen, um den Umfang Ihrer Rohlog-Suche weiter einzuschränken.

Trend im Laufe der Zeit

Mithilfe des Trenddiagramms können Sie die Verteilung der Rohlogs im Suchzeitraum nachvollziehen. Sie können Filter auf das Diagramm anwenden, um nach geparsten und Roh-Logs zu suchen.

Rohlogergebnisse

Wenn Sie eine Rohlog-Suche ausführen, sind die Ergebnisse eine Kombination aus UDM-Ereignissen und Entitäten, die aus den Rohlogs generiert werden, die Ihren Suchanfragen entsprechen, sowie den Rohlogs selbst. Sie können die Suchergebnisse weiter untersuchen, indem Sie auf eines der Ergebnisse klicken:

  • UDM-Ereignis oder ‑Entität: Wenn Sie auf ein UDM-Ereignis oder eine UDM-Entität klicken, werden in Google SecOps alle zugehörigen Ereignisse und Entitäten sowie das mit diesem Element verknüpfte Rohlog angezeigt.

  • Rohlog: Wenn Sie auf einen Rohlog klicken, zeigt Google SecOps die gesamte Rohlogzeile zusammen mit der Quelle für diesen Log an.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten