이 페이지는 Cloud Translation API를 통해 번역되었습니다.

원시 로그 검색 수행

다음에서 지원:

Google SecOps SIEM

Google Security Operations를 사용하여 Google SecOps 계정에서 원시 로그를 검색하고 관련 이벤트 및 항목과 함께 관련 컨텍스트를 확인할 수 있습니다.

원시 로그 검색은 원시 이벤트와 이러한 원시 로그를 사용하여 생성된 UDM 이벤트 간의 상관관계를 보여줍니다. 원시 로그 검색은 로그 필드가 파싱되고 정규화되는 방식을 이해하고 정규화 프로세스의 격차를 조사하는 데 도움이 됩니다.

원시 로그 검색을 완료하면 일치하는 각 원시 로그 줄이 로그 줄에 포함된 이벤트 및 항목으로 대체됩니다. 각 로그 행에서 추출되는 이벤트 및 엔티티 수는 최대 10개로 제한됩니다.

원시 로그 검색을 수행하려면 다음 단계를 따르세요.

조사 > SIEM 검색으로 이동합니다.
검색창에 검색어 앞에 raw = 프리픽스를 추가하고 검색어를 따옴표로 묶습니다 (예: raw = "example.com").
메뉴 옵션에서 원시 로그 검색을 선택합니다. Google SecOps는 연결된 원시 로그, UDM 이벤트, 연결된 항목을 찾습니다. UDM 검색 페이지에서 동일한 검색 (raw = "example.com")을 실행할 수도 있습니다.

UDM 검색 결과를 상세하게 검색하는 데 사용한 것과 동일한 빠른 필터를 사용할 수 있습니다. 원시 로그 결과에 적용하여 결과를 더 세분화할 필터를 선택합니다.

원시 로그 쿼리 최적화

원시 로그 검색은 일반적으로 UDM 검색보다 느립니다. 검색 성능을 개선하려면 검색 설정을 변경하여 쿼리를 실행하는 데이터 양을 제한하세요.

시간 범위 선택기: 쿼리를 실행할 데이터의 시간 범위를 제한합니다.
로그 소스 선택기: 원시 로그 검색을 모든 로그 소스가 아닌 특정 소스의 로그로만 제한합니다. 로그 소스 메뉴에서 하나 이상의 로그 소스를 선택합니다 (기본값은 모두).
정규 표현식: 정규 표현식을 사용합니다. 예를 들어 raw = /goo\w{3}.com/는 google.com, goodle.com, goog1e.com와 일치하여 원시 로그 검색 범위를 추가로 제한합니다.

추세 그래프를 사용하여 검색 기간 동안의 원시 로그 분포를 파악합니다. 그래프에 필터를 적용하여 파싱된 로그와 원시 로그를 찾을 수 있습니다.

원시 로그 검색을 실행하면 검색과 일치하는 원시 로그에서 생성된 UDM 이벤트와 엔티티가 원시 로그와 함께 결과로 표시됩니다. 결과를 클릭하여 검색 결과를 자세히 살펴볼 수 있습니다.

UDM 이벤트 또는 항목: UDM 이벤트 또는 항목을 클릭하면 Google SecOps에서 관련 이벤트 및 항목과 해당 항목과 연결된 원시 로그를 표시합니다.
원시 로그: 원시 로그를 클릭하면 Google SecOps에 전체 원시 로그 행과 해당 로그의 소스가 표시됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.