Effectuer une recherche dans les journaux bruts

Compatible avec :

Vous pouvez utiliser Google Security Operations pour rechercher les journaux bruts dans votre compte Google SecOps et obtenir le contexte pertinent avec les événements et entités associés.

Les recherches dans les journaux bruts vous montrent la corrélation entre les événements bruts et les événements UDM générés à l'aide de ces journaux bruts. Une recherche de journaux bruts vous aide à comprendre comment les champs de journaux sont analysés et normalisés, et à identifier les éventuelles lacunes dans le processus de normalisation.

Une fois la recherche dans les journaux bruts terminée, chaque ligne de journal brut correspondante est remplacée par les événements et les entités qu'elle contient. Le nombre d'événements et d'entités extraits de chaque ligne de journal est limité à 10.

Pour effectuer une recherche dans les journaux bruts, procédez comme suit :

  1. Accédez à Investigation > Recherche SIEM.

  2. Dans le champ de recherche, ajoutez le préfixe raw = à votre recherche et placez votre terme de recherche entre guillemets (par exemple, raw = "example.com").

  3. Sélectionnez l'option de recherche dans les journaux bruts dans le menu. Google SecOps trouve les journaux bruts, les événements UDM et les entités associées. Vous pouvez également exécuter la même recherche (raw = "example.com") depuis la page "Recherche UDM".

Vous pouvez utiliser les mêmes filtres rapides que ceux utilisés pour affiner les résultats de recherche UDM. Sélectionnez le filtre que vous souhaitez appliquer aux résultats bruts du journal pour les affiner davantage.

Optimiser les requêtes de journaux bruts

Les recherches dans les journaux bruts sont généralement plus lentes que les recherches UDM. Pour améliorer les performances de recherche, limitez la quantité de données sur lesquelles vous effectuez votre requête en modifiant les paramètres de recherche :

  • Sélecteur de période : limite la période des données sur lesquelles vous exécutez votre requête.
  • Sélecteur de source de journaux : limite votre recherche de journaux bruts aux journaux provenant de sources spécifiques, et non à toutes vos sources de journaux. Dans le menu Sources de journaux, sélectionnez une ou plusieurs sources de journaux (la valeur par défaut est toutes).
  • Expressions régulières : utilisez une expression régulière. Par exemple, raw = /goo\w{3}.com/ correspondrait à google.com, goodle.com et goog1e.com pour limiter davantage le champ d'application de votre recherche dans les journaux bruts.

Tendance au fil du temps

Utilisez le graphique de tendance pour comprendre la distribution des journaux bruts au cours de la période de votre recherche. Vous pouvez appliquer des filtres au graphique pour rechercher des journaux analysés et bruts.

Résultats des journaux bruts

Lorsque vous effectuez une recherche dans les journaux bruts, les résultats sont une combinaison d'événements et d'entités UDM générés par les journaux bruts correspondant à vos recherches, ainsi que les journaux bruts. Vous pouvez explorer davantage les résultats de recherche en cliquant sur l'un d'eux :

  • Événement ou entité UDM : si vous cliquez sur un événement ou une entité UDM, Google SecOps affiche les événements et entités associés, ainsi que le journal brut associé à cet élément.

  • Journal brut : si vous cliquez sur un journal brut, Google SecOps affiche l'intégralité de la ligne du journal brut, ainsi que la source de ce journal.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.