Melakukan penelusuran log mentah

Anda dapat menggunakan Google Security Operations untuk menelusuri log mentah di akun Google SecOps Anda dan mendapatkan konteks yang relevan dengan peristiwa dan entity terkait.

Penelusuran log mentah menunjukkan korelasi antara peristiwa mentah dan peristiwa UDM yang dihasilkan menggunakan log mentah tersebut. Pencarian log mentah membantu Anda memahami cara kolom log diuraikan dan dinormalisasi serta membantu Anda menyelidiki setiap kesenjangan dalam proses normalisasi.

Setelah Anda menyelesaikan penelusuran log mentah, setiap baris log mentah yang cocok akan diganti dengan peristiwa dan entitas yang terdapat dalam baris log. Jumlah peristiwa dan entitas yang diekstrak dari setiap baris log dibatasi hingga maksimum 10.

Untuk melakukan penelusuran log mentah, ikuti langkah-langkah berikut:

1. Buka Investigasi > Penelusuran SIEM.

2. Di kolom penelusuran, tambahkan awalan raw = ke penelusuran Anda dan sertakan istilah penelusuran dalam tanda petik (misalnya, raw = "example.com").

3. Pilih penelusuran log mentah dari opsi menu. Google SecOps menemukan log mentah terkait, peristiwa UDM, dan entitas terkait. Anda juga dapat menjalankan penelusuran yang sama (raw = "example.com") dari halaman Penelusuran UDM.

Anda dapat menggunakan filter cepat yang sama dengan yang digunakan untuk menyaring hasil penelusuran UDM. Pilih filter yang ingin Anda terapkan ke hasil log mentah untuk menyaringnya lebih lanjut.

Mengoptimalkan kueri log mentah

Penelusuran log mentah biasanya lebih lambat daripada penelusuran UDM. Untuk meningkatkan performa penelusuran, batasi jumlah data yang Anda kueri dengan mengubah setelan penelusuran:

• Pemilih rentang waktu: Membatasi rentang waktu data yang digunakan untuk menjalankan kueri.
• Pemilih Sumber Log: Membatasi penelusuran log mentah Anda hanya ke log dari sumber tertentu, bukan semua sumber log Anda. Dari menu Sumber log, pilih satu atau beberapa sumber log (defaultnya adalah semua).
• Ekspresi reguler: Gunakan ekspresi reguler. Misalnya, raw = /goo\w{3}.com/ akan cocok dengan google.com, goodle.com, goog1e.com untuk lebih membatasi cakupan penelusuran log mentah Anda.

Tren dari waktu ke waktu

Gunakan grafik tren untuk memahami distribusi log mentah selama waktu penelusuran Anda. Anda dapat menerapkan filter pada grafik untuk mencari log yang diuraikan dan log mentah.

Hasil log mentah

Saat Anda menjalankan penelusuran log mentah, hasilnya adalah kombinasi peristiwa UDM dan entitas yang dihasilkan oleh log mentah yang cocok dengan penelusuran Anda, beserta log mentah. Anda dapat menjelajahi hasil penelusuran lebih lanjut dengan mengklik salah satu hasil:

• Peristiwa atau entitas UDM: Jika Anda mengklik peristiwa atau entitas UDM, Google SecOps akan menampilkan peristiwa dan entitas terkait, beserta log mentah yang terkait dengan item tersebut.

• Log mentah: Jika Anda mengklik log mentah, Google SecOps akan menampilkan seluruh baris log mentah, beserta sumber log tersebut.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.