执行原始日志搜索

支持的语言:

您可以使用 Google Security Operations 搜索 Google SecOps 账号中的原始日志,并获取相关事件和实体的相关背景信息。

原始日志搜索会显示原始事件与使用这些原始日志生成的 UDM 事件之间的关联。原始日志搜索有助于您了解日志字段的解析和归一化方式,并帮助您调查归一化过程中的任何缺口。

完成原始日志搜索后,系统会将每个匹配的原始日志行替换为该日志行中包含的事件和实体。从每行日志中提取的事件和实体的数量上限为 10。

如需执行原始日志搜索,请按以下步骤操作:

  1. 依次前往调查 > SIEM 搜索

  2. 在搜索字段中,为搜索内容添加前缀 raw = ,并将搜索字词括在英文引号中(例如 raw = "example.com")。

  3. 从菜单选项中选择原始日志搜索。Google SecOps 会查找关联的原始日志、UDM 事件和关联的实体。您还可以从 UDM 搜索页面运行相同的搜索(raw = "example.com")。

您可以使用与优化 UDM 搜索结果相同的快速过滤条件。选择要应用于原始日志结果的过滤条件,以进一步优化结果。

优化原始日志查询

原始日志搜索通常比 UDM 搜索慢。如需提高搜索效果,请更改搜索设置,以限制查询所针对的数据量:

  • 时间范围选择器:限制您运行查询的数据的时间范围。
  • 日志源选择器:将原始日志搜索范围限制为仅搜索来自特定来源的日志,而不是所有日志源。从日志来源菜单中,选择一个或多个日志来源(默认值为全部)。
  • 正则表达式:使用正则表达式。例如,raw = /goo\w{3}.com/ 将与 google.comgoodle.comgoog1e.com 进行匹配,以进一步限制原始日志搜索的范围。

随时间变化的趋势

使用趋势图了解原始日志在搜索时间范围内的分布情况。您可以在图表上应用过滤条件,以查找已解析的日志和原始日志。

原始日志结果

运行原始日志搜索时,结果是 UDM 事件和实体(由与搜索匹配的原始日志生成)以及原始日志的组合。您可以点击任意搜索结果,进一步探索:

  • UDM 事件或实体:如果您点击 UDM 事件或实体,Google SecOps 会显示任何相关事件和实体,以及与该项关联的原始日志。

  • 原始日志:如果您点击原始日志,Google SecOps 会显示整个原始日志行以及相应日志的来源。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。