未加工ログの検索を行う

以下でサポートされています。

Google Security Operations を使用すると、Google SecOps アカウントの未加工ログを検索し、関連するイベントやエンティティを含む関連するコンテキストを取得できます。

未加工ログの検索では、未加工イベントと、それらの未加工ログを使用して生成された UDM イベントの相関関係が表示されます。未加工ログの検索は、ログフィールドの解析と正規化の方法を理解し、正規化プロセスのギャップを調査するのに役立ちます。

未加工ログの検索が完了すると、一致する未加工ログの各行が、ログ行に含まれるイベントとエンティティに置き換えられます。各ログ行から抽出されるイベントとエンティティの数は、最大 10 個に制限されます。

未加工ログの検索を実行する手順は次のとおりです。

  1. [Investigation] > [SIEM Search] に移動します。

  2. 検索フィールドで、検索語に接頭辞 raw = を追加し、検索キーワードを引用符で囲みます(例: raw = "example.com")。

  3. メニュー オプションから未加工ログ検索を選択します。Google SecOps は、関連する未加工ログ、UDM イベント、関連するエンティティを検出します。UDM 検索ページから同じ検索(raw = "example.com")を実行することもできます。

UDM 検索結果の絞り込みに使用したクイック フィルタと同じものを使用できます。未加工のログ結果に適用してさらに絞り込むフィルタを選択します。

未加工ログのクエリを最適化する

通常、未加工ログの検索は UDM 検索よりも時間がかかります。検索のパフォーマンスを改善するには、次の検索設定を変更して、クエリを実行するデータの量を制限します。

  • Time range selector: クエリを実行するデータの期間を制限します。
  • Log Source selector: 未加工ログの検索を、すべてのログソースではなく、特定のソースからのログのみに制限します。[Log sources] メニューで、ログソースを 1 つ以上選択します(デフォルトは [all])。
  • Regular expressions: 正規表現を使用します。たとえば、raw = /goo\w{3}.com/google.comgoodle.comgoog1e.com と照合され、未加工ログ検索の範囲がさらに絞り込まれます。

傾向の推移

トレンド グラフを使用して、検索期間中の未加工ログの分布を把握します。グラフにフィルタを適用して、解析済みログと未加工ログを検索できます。

未加工ログの結果

未加工ログ検索を実行すると、検索に一致する未加工ログによって生成された UDM イベントとエンティティ、および未加工ログが組み合わされた結果が返されます。検索結果をクリックすると、検索結果の詳細を確認できます。

  • UDM イベントまたはエンティティ: UDM イベントまたはエンティティをクリックすると、関連するイベントとエンティティ、およびそのアイテムに関連付けられた未加工のログが表示されます。

  • 未加工ログ: 未加工ログをクリックすると、Google SecOps に未加工ログの行全体と、そのログのソースが表示されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。