Questa pagina è stata tradotta dall'API Cloud Translation.

Eseguire una ricerca nei log non elaborati

Supportato in:

Google secops SIEM

Puoi utilizzare Google Security Operations per cercare i log non elaborati nel tuo account Google SecOps e ottenere il contesto pertinente con eventi ed entità correlati.

Le ricerche nei log non elaborati mostrano la correlazione tra gli eventi non elaborati e gli eventi UDM generati utilizzando questi log non elaborati. Una ricerca nei log non elaborati ti aiuta a capire come vengono analizzati e normalizzati i campi dei log e a esaminare eventuali lacune nel processo di normalizzazione.

Dopo aver completato una ricerca nei log non elaborati, ogni riga di log non elaborato corrispondente viene sostituita con gli eventi e le entità contenuti nella riga di log. Il numero di eventi ed entità estratti da ogni riga di log è limitato a un massimo di 10.

Per eseguire una ricerca nei log non elaborati:

Vai a Indagine > Ricerca SIEM.
Nel campo di ricerca, aggiungi il prefisso raw = alla ricerca e racchiudi il termine di ricerca tra virgolette (ad esempio, raw = "example.com").
Seleziona la ricerca dei log non elaborati dall'opzione di menu. Google SecOps trova i log non elaborati, gli eventi UDM e le entità associate. Puoi anche eseguire la stessa ricerca (raw = "example.com") dalla pagina Ricerca UDM.

Puoi utilizzare gli stessi filtri rapidi utilizzati per perfezionare i risultati di ricerca UDM. Seleziona il filtro che vuoi applicare ai risultati dei log non elaborati per perfezionarli ulteriormente.

Ottimizzare le query dei log non elaborati

Le ricerche nei log non elaborati sono in genere più lente rispetto alle ricerche UDM. Per migliorare le prestazioni della ricerca, limita la quantità di dati su cui esegui la query modificando le impostazioni di ricerca:

Selettore dell'intervallo di tempo: limita l'intervallo di tempo dei dati su cui esegui la query.
Selettore origine log: limita la ricerca dei log non elaborati solo ai log provenienti da origini specifiche, anziché a tutte le origini log. Nel menu Origini log, seleziona una o più origini log (il valore predefinito è tutte).
Espressioni regolari: utilizza un'espressione regolare. Ad esempio, raw = /goo\w{3}.com/ corrisponderebbe a google.com, goodle.com, goog1e.com per limitare ulteriormente l'ambito della ricerca nei log non elaborati.

Tendenza nel tempo

Utilizza il grafico delle tendenze per comprendere la distribuzione dei log non elaborati nel periodo di tempo della tua ricerca. Puoi applicare filtri al grafico per cercare log analizzati e log non elaborati.

Risultati del log non elaborato

Quando esegui una ricerca nei log non elaborati, i risultati sono una combinazione di eventi UDM ed entità generate dai log non elaborati che corrispondono alle tue ricerche, insieme ai log non elaborati. Puoi esplorare ulteriormente i risultati di ricerca facendo clic su uno qualsiasi dei risultati:

Evento o entità UDM: se fai clic su un evento o un'entità UDM, Google SecOps mostra gli eventi e le entità correlati, insieme al log non elaborato associato all'elemento.
Log non elaborato: se fai clic su un log non elaborato, Google SecOps mostra l'intera riga del log non elaborato, insieme all'origine del log.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.