執行原始記錄搜尋

您可以使用 Google Security Operations 搜尋 Google SecOps 帳戶中的原始記錄，並透過相關事件和實體取得相關背景資訊。

原始記錄搜尋結果會顯示原始事件與使用這些原始記錄產生的 UDM 事件之間的關聯。原始記錄搜尋功能可協助您瞭解記錄檔欄位的剖析和正規化方式，並調查正規化程序中的任何缺口。

完成原始記錄搜尋後，系統會將每個相符的原始記錄行，替換為記錄行中包含的事件和實體。從每行記錄中擷取的事件和實體數量上限為 10 個。

如要執行原始記錄搜尋，請按照下列步驟操作：

1. 依序前往「調查」> SIEM 搜尋」。

2. 在搜尋欄位中，在搜尋字詞前面加上前置字串「raw = 」，並以半形引號括住搜尋字詞 (例如「raw = "example.com"」)。

3. 從選單選項中選取原始記錄搜尋。Google SecOps 會找出相關的原始記錄、UDM 事件和相關實體。您也可以從 UDM 搜尋頁面執行相同搜尋 (raw = "example.com")。

您可以使用與修正 UDM 搜尋結果相同的快速篩選器。選取要套用至原始記錄結果的篩選器，進一步修正結果。

最佳化原始記錄查詢

原始記錄搜尋通常比 UDM 搜尋慢。如要提升搜尋效能，請變更搜尋設定，限制查詢的資料量：

• 時間範圍選取器：限制您執行查詢的資料時間範圍。
• 記錄來源選取器：將原始記錄搜尋範圍限制為僅來自特定來源的記錄，而非所有記錄來源。在「記錄來源」選單中，選取一或多個記錄來源 (預設為「全部」)。
• 規則運算式：使用規則運算式。舉例來說，raw = /goo\w{3}.com/ 會比對 google.com、goodle.com、goog1e.com，進一步限制原始記錄搜尋的範圍。

趨勢變化

使用趨勢圖瞭解搜尋期間原始記錄的分佈情形。您可以在圖表上套用篩選器，尋找已剖析的記錄和原始記錄。

原始記錄檔結果

執行原始記錄搜尋時，結果會包含與搜尋條件相符的原始記錄所產生的 UDM 事件和實體，以及原始記錄。如要進一步探索搜尋結果，請點選任一結果：

• UDM 事件或實體：如果您點選 UDM 事件或實體，Google SecOps 會顯示任何相關事件和實體，以及與該項目相關的原始記錄。

• 原始記錄：點選原始記錄後，Google SecOps 會顯示整行原始記錄，以及該記錄的來源。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。