Daten in der Ansicht "Standard-Logscan" filtern
Mit dem Raw Log Scan können Sie Ihre rohen, nicht geparsten Logs prüfen. Wenn Sie eine prüft Google Security Operations zuerst die Sicherheitsdaten, die und geparst. Werden die gesuchten Informationen nicht gefunden, können Sie Raw-Log-Scan, um die unbearbeiteten, nicht geparsten Logs zu untersuchen. Sie können auch reguläre Ausdrücke verwenden, um die Rohprotokolle genauer zu untersuchen.
Raw-Log-Scan verwenden, um Artefakte zu untersuchen, die in Logs angezeigt werden, aber nicht indexiert, einschließlich:
- Nutzernamen
- Dateinamen
- Registrierungsschlüssel
- Befehlszeilenargumente
- Rohdaten für die HTTP-Anfrage
- Domainnamen basierend auf regulären Ausdrücken
- Asset-Namen und -Adressen
Führen Sie die folgenden Schritte aus, um den Rohlogscan in Google Security Operations zu verwenden:
Geben Sie einen Suchstring in die Suchleiste auf der Landingpage oder in der Menüleiste oben in der Google Security Operations-Benutzeroberfläche. Klicken Sie auf SUCHEN.
Wählen Sie im Menü Raw Log Scan aus. Google Security Operations öffnet die Optionen für den Rohlogscan.
Geben Sie die Start- und Endzeit an (der Standardwert ist 1 Woche) und klicken Sie auf SUCHEN.
In der Ansicht Rohlogsuche basieren die Filter auf einer begrenzten Anzahl von Ereignissen wie DNS, Webproxy, EDR und Alert. Die Filter enthalten keine Informationen zu andere Ereignistypen wie GENERIC, EMAIL und USER. Die Ansicht „Raw Log Scan“ wird angezeigt.
Sie können mit regulären Ausdrücken nach Zeichensätzen suchen und diese abgleichen. mithilfe von Google Security Operations Strings in Ihre Sicherheitsdaten einbinden. Mit regulären Ausdrücken können Sie Ihre Suche mithilfe von Informationsfragmenten eingrenzen, anstatt beispielsweise einen vollständigen Domainnamen zu verwenden.
Die folgenden Optionen für das prozedurale Filtern stehen im Rohprotokollscan zur Verfügung Ansicht:
- VERANSTALTUNGSart
- QUELLE PROTOKOLLIEREN
- STATUS DER NETZWERKVERBINDUNG
- TLD