Eseguire una ricerca nei log non elaborati

Supportato in:

Puoi utilizzare Google Security Operations per cercare i log non elaborati nel tuo account Google Security Operations e ottenere un contesto pertinente con entità ed eventi correlati.

Le ricerche dei log non elaborati mostrano la correlazione tra gli eventi non elaborati e gli eventi UDM generati utilizzando questi log non elaborati. Una ricerca dei log non elaborati ti aiuta a comprendere come vengono analizzati e normalizzati i campi dei log e a esaminare eventuali lacune nel processo di normalizzazione.

Dopo aver completato una ricerca nei log non elaborati, ogni riga del log non elaborato corrispondente viene sostituita con gli eventi e le entità contenuti nella riga del log. Il numero di eventi e di entità estratti da ogni riga di log è limitato a un massimo di 10.

Per eseguire una ricerca nei log non elaborati:

  1. Vai a Indagine > Ricerca SIEM.

  2. Nel campo di ricerca, aggiungi il prefisso raw = alla ricerca e metti il termine di ricerca tra virgolette (ad esempio raw = "example.com").

  3. Seleziona la ricerca dei log non elaborati dall'opzione di menu. Google Security Operations trova i log non elaborati associati, gli eventi UDM e le entità associate. Puoi anche eseguire la stessa ricerca (raw = "example.com") dalla pagina di ricerca UDM.

Puoi utilizzare gli stessi filtri rapidi utilizzati per perfezionare i risultati di ricerca dell'UDM. Seleziona il filtro da applicare ai risultati dei log non elaborati per perfezionarli ulteriormente.

Ottimizzare le query sui log non elaborati

Le ricerche nei log non elaborati sono in genere più lente delle ricerche UDM. Per migliorare le prestazioni della ricerca, limita la quantità di dati su cui esegui la query modificando le impostazioni di ricerca:

  • Selettore dell'intervallo di tempo: limita l'intervallo di tempo dei dati su cui esegui la query.
  • Selettore di origini log: limita la ricerca dei log non elaborati solo ai log di origini specifiche, anziché a tutte le origini log. Nel menu Origini log, seleziona una o più origini log (il valore predefinito è Tutte).
  • Espressioni regolari: utilizza un'espressione regolare. Ad esempio, raw = /goo\w{3}.com/ viene associato a google.com, goodle.com, goog1e.com per limitare ulteriormente l'ambito della ricerca nei log non elaborati.

Tendenza nel tempo

Utilizza il grafico delle tendenze per comprendere la distribuzione dei log non elaborati nel tempo della ricerca. Puoi applicare filtri al grafico per cercare log analizzati e log non elaborati.

Risultati dei log non elaborati

Quando esegui una ricerca nei log non elaborati, i risultati sono una combinazione di eventi UDM e entità generate dai log non elaborati corrispondenti alle tue ricerche, oltre ai log non elaborati. Puoi esplorare ulteriormente i risultati di ricerca facendo clic su uno dei risultati:

  • Evento o entità UDM: se fai clic su un evento o un'entità UDM, Google Security Operations mostra gli eventi e le entità correlati, insieme al log non elaborato associato all'elemento.

  • Log non elaborato: se fai clic su un log non elaborato, Google Security Operations mostra l'intera riga del log non elaborato, insieme alla relativa origine.