Cette page a été traduite par l'API Cloud Translation.

Effectuer une recherche dans les journaux bruts

Compatible avec:

Google SecOps SIEM

Vous pouvez utiliser Google Security Operations pour rechercher les journaux bruts de votre compte Google Security Operations et obtenir un contexte pertinent avec les événements et les entités associés.

Les recherches dans les journaux bruts vous montrent la corrélation entre les événements bruts et les événements UDM générés à l'aide de ces journaux bruts. Une recherche de journaux bruts vous aide à comprendre comment les champs de journaux sont analysés et normalisés, et à identifier les lacunes du processus de normalisation.

Une fois la recherche de journaux bruts terminée, chaque ligne de journal brute correspondante est remplacée par les événements et les entités contenus dans la ligne de journal. Le nombre d'événements et d'entités extraits de chaque ligne de journal est limité à 10.

Pour effectuer une recherche dans les journaux bruts, procédez comme suit:

Accédez à Investigation > Recherche dans le SIEM.
Dans le champ de recherche, ajoutez le préfixe raw = à votre recherche et placez votre terme de recherche entre guillemets (par exemple, raw = "example.com").
Sélectionnez la recherche dans le journal brut dans le menu. Google Security Operations recherche les journaux bruts, les événements UDM et les entités associés. Vous pouvez également effectuer la même recherche (brut = "exemple.com") à partir de la page de recherche UDM.

Vous pouvez utiliser les mêmes filtres rapides que ceux utilisés pour affiner les résultats de recherche dans UDM. Sélectionnez le filtre que vous souhaitez appliquer aux résultats de journal bruts pour les affiner davantage.

Optimiser les requêtes de journal brutes

Les recherches dans les journaux bruts sont généralement plus lentes que les recherches dans les journaux UDM. Pour améliorer les performances de recherche, limitez la quantité de données sur lesquelles vous effectuez votre requête en modifiant les paramètres de recherche:

Sélecteur de période: limite la période des données sur lesquelles vous exécutez votre requête.
Sélecteur de source de journaux: limite votre recherche de journaux bruts aux journaux de sources spécifiques, et non à toutes vos sources de journaux. Dans le menu Sources de journaux, sélectionnez une ou plusieurs sources de journaux (la valeur par défaut est toutes).
Expressions régulières: utilisez une expression régulière. Par exemple, raw = /goo\w{3}.com/ correspond à google.com, goodle.com et goog1e.com pour limiter davantage la portée de votre recherche de journaux bruts.

Tendance au fil du temps

Utilisez le graphique des tendances pour comprendre la distribution des journaux bruts au cours de votre recherche. Vous pouvez appliquer des filtres au graphique pour rechercher des journaux analysés et des journaux bruts.

Résultats des journaux bruts

Lorsque vous effectuez une recherche de journaux bruts, les résultats sont une combinaison d'événements et d'entités UDM générés par les journaux bruts correspondant à vos recherches, ainsi que les journaux bruts. Vous pouvez explorer davantage les résultats de recherche en cliquant sur l'un d'eux:

Événement ou entité UDM: si vous cliquez sur un événement ou une entité UDM, Google Security Operations affiche tous les événements et entités associés, ainsi que le journal brut associé à cet élément.
Journal brut: si vous cliquez sur un journal brut, Google Security Operations affiche l'intégralité de la ligne de journal brut, ainsi que la source de ce journal.