ルールリストを検索する
ルール検索機能を使用すると、統合ルールリスト全体で特定のルールを見つけることができます。基本的なキーワード マッチングを使用してルールを検索することも、高度な AIP-160 準拠の構造化検索構文を使用して、高度にターゲット設定されたクエリを実行することもできます。これらの検索機能は、ルール ダッシュボードと ListRules API の両方で完全にサポートされています。
検索方法
キーワード検索: ルールテキストに対して直接、シンプルな広範囲の検索を実行します。
例:
my_rule_name構造化検索: 表示名、テキスト、タグ、ライブ ステータスなどの特定のメタデータ ファセットに基づいてルールをフィルタします。
例:
display_name="my_rule_name" text:"$e.metadata.event_type = /"USER_LOGIN/"" tags:"ta0001"
検索でサポートされている演算子
| 演算子 | 例 | 意味 |
|---|---|---|
| : | string_field: "str"
|
フィールド値に部分文字列 str が含まれている
フィールド要素のいずれかに部分文字列 |
| = | string_field = "str"
|
フィールドの値が str と完全に一致する
フィールド値がブール値
フィールド値が列挙型
フィールド値が日付 |
| != | string_field != "str"
|
フィールドの値が str ではない
フィールドの値が
フィールド値が列挙型 |
| > | string_field > "str"
|
フィールド値は str の後に辞書順で並べ替えられます
フィールド値は |
| >= | string_field >= "str"
|
フィールド値が str 以降の辞書順である
フィールド値が |
| < | string_field < "str"
|
フィールド値は str の前に辞書順で並べられます
フィールド値が |
| <= | string_field <<>= "str"
|
フィールド値が str より前または等しい順序で並べられている
フィールド値が |
構造化検索でサポートされているフィールド
rule_owner
フィールドの説明: ルールの作成者エンティティ
フィールド タイプ: enum
サポートされている値:
お客様
google
*(任意のオーナー)
サポートされている演算子
| 演算子 | 例 | 意味 |
|---|---|---|
:
|
rule_owner: "customer"
|
カスタムルールのみを返す キュレートされたルールのみを返す カスタムルールとキュレートされたルールの両方を返す |
=
|
rule_owner = "customer"
|
カスタムルールのみを返す キュレートされたルールのみを返す |
!=
|
rule_owner != "customer"
|
カスタムルール以外の返品ルール キュレーション ルール以外のルールを返します |
注: デフォルトでは、rule_owner フィルタのない API 呼び出しには rule_owner: "customer" フィルタが適用されます。ワイルドカード \* 値は、カスタムルールとキュレートされたルールの両方を取得する場合に便利です。
create_time
フィールドの説明: ルールが作成されたタイムスタンプ。
フィールド タイプ: timestamp
サポートされている演算子:
| 演算子 | 例 | 意味 |
|---|---|---|
| > | create_time > "2025-11-19"
|
2025-11-19 以降に作成された返品ルール
|
| >= | create_time >= "2025-11-19"
|
2025-11-19 以降に作成された返品ルール
|
| < | create_time < "2025-11-19"
|
2025-11-19 より前に作成された返品ルール
|
| <= | create_time <= "2025-11-19"
|
2025-11-19 以前に作成された返品ルール
|
revision_create_time
フィールドの説明: 最新のルール バージョンが作成されたタイムスタンプ。
フィールド タイプ: timestamp
サポートされている演算子:
| 演算子 | 例 | 意味 |
|---|---|---|
>
|
revision_create_time > "2025-11-19"
|
最後のテキスト更新が 2025-11-19 以降のルールを返します。 |
>=
|
revision_create_time >= "2025-11-19"
|
2025-11-19 以降にテキストが最後に更新されたルールを返します。 |
<
|
revision_create_time < "2025-11-19"
|
2025-11-19 より前の最後のテキスト更新を含むルールを返します。 |
<=
|
revision_create_time <= "2025-11-19"
|
2025-11-19 以前にテキストが最後に更新されたルールを返します。 |
name
フィールドの説明: 一意の識別子を含むルールのリソース名。
フィールド タイプ: string
サポートされている演算子:
| 演算子 | 例 | 意味 |
|---|---|---|
:
|
名前: 「ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b」 | リソース名に識別子「ru_7a22464f-e8e7-408e-b598-6aa4c61bb73b」を含むルールを返します。 |
display_name
フィールドの説明: ルールテキストの 1 行目から抽出された、人が読める形式のルールの名前。
フィールド タイプ: string
サポートされている演算子:
| 演算子 | 例 | 意味 |
|---|---|---|
:
|
display_name: "aws"
|
表示名に部分文字列 aws を含むルールを返す |
=
|
display_name = "my_rule_7"
|
表示名が my_rule_7 のルールを返します。 |
!=
|
display_name != "my_rule_7"
|
表示名が my_rule_7 ではないルールを返します。 |
>
|
display_name > "b"
|
表示名が b より辞書順で後の文字で始まるルールを返します。 |
>=
|
display_name > "b"
|
表示名が文字「b」または文字 b の後に辞書順で並ぶ文字で始まるルールを返します。 |
<
|
display_name < "b"
|
表示名が b より辞書順で前の文字で始まるルールを返します。 |
<=
|
display_name <= "b"
|
表示名が文字「b」または文字 b より前に字句順で並べられた文字で始まるルールを返します。 |
テキスト
フィールドの説明: ルールのテキスト。
フィールド タイプ: string
サポートされている演算子:
| 演算子 | 例 | 意味 |
|---|---|---|
:
|
Text: "invoke-web request"
|
ルールテキストに部分文字列 aws を含むルールを返す
部分文字列 |
著者
フィールドの説明: ルールテキストのメタデータ セクションに示されているルールの作成者。
フィールド タイプ: string
サポートされている演算子:
| 演算子 | 例 | 意味 |
| : | author: "alice" | Author 値に部分文字列「alice」を含むルールを返す |
| = | author = "alice@google.com" | author 値が「alice@google.com」と完全に一致するルールを返します。 |
| != | author != "alice@google.com" | 作成者が「alice@google.com」ではない返品ルール |
| > | author > "b" | 「b」の後に辞書順で並ぶ文字で始まる作成者のルールを返す |
| >= | author > "b" | 著者名が「b」で始まるか、「b」の後に続く文字で始まるルールを返します。 |
| < | author < "b" | 字句順で「b」より前の文字で始まる作成者のルールを返します。 |
| <= | author <= "b" | 著者の名前が「b」で始まるか、「b」より前に辞書順で並ぶ文字で始まるルールを返します。 |
重要度
**フィールドの説明: **ルールテキストのメタデータ セクションで示されるルールの重要度
フィールド タイプ: メッセージ
サポートされている演算子:
| 演算子 | 例 | 意味 |
| : | severity: "low" | 重大度の値に「low」という部分文字列を含むルールを返します。 |
| = | severity = "medium" | 重大度の値が「中」のルールを返します。 |
| != | severity != "high" | 重大度が「高」ではないルールを返す |
タグ
**フィールドの説明: **ルールに関連付けられたタグ
フィールド タイプ: 繰り返し文字列
サポートされている演算子
| 演算子 | 例 | 意味 |
| : | タグ: 「ta0001」 | タグ名に部分文字列「ta0001」を含む MITRE タグが 1 つ以上あるルールを返します。 |
アーカイブ済み
**フィールドの説明: **ルールがアーカイブされているかどうか
フィールド タイプ: ブール値
サポートされている演算子
| 演算子 | 例 | 意味 |
| = | archived = true | アーカイブ済みとマークされたルールを返します |
| != | archived != true | アーカイブ済みとしてマークされていない返品ルールを返します。 |
live_mode_enabled
**フィールドの説明: **ルールがライブルールとして実行されているかどうか
フィールド タイプ: ブール値
サポートされている演算子
| 演算子 | 例 | 意味 |
| = | live_mode_enabled = true | ライブルールとして実行されているルールを返します。 |
| != | live_mode_enabled != true | ライブルールとして実行されていない返品ルール |
alerting_enabled
**フィールドの説明: **ルールの新しい検出をアラート検出としてマークするかどうか
フィールド タイプ: ブール値
サポートされている演算子
| 演算子 | 例 | 意味 |
| = | alerting_enabled = true | アラートとしてマークされているルールを返します。 |
| != | alerting_enabled != true | アラートとしてマークされていないルールを返す |
run_frequency
**フィールドの説明: **ルールがライブルールとして有効になっている場合、これはライブ実行の頻度を指します。
フィールド タイプ: 列挙型
サポートされている値
- ライブ
- 毎時
- 毎日
サポートされている演算子
| 演算子 | 例 | 意味 |
| = | run_frequency = hourly | run_frequency が 1 時間のルールを返します。 |
| != | run_frequency != hourly | run_frequency が hourly 以外のルールを返す |
execution_state
**フィールドの説明: **ライブルールの実行が想定どおりに実行されているか、スロットリングされているか、実行が禁止されているか。
フィールド タイプ: 列挙型
サポートされている値
- デフォルト
- 限定
- 一時停止
サポートされている演算子
| 演算子 | 例 | 意味 |
| = | execution_state = limited
execution_state = default |
現在スロットリングされているライブルールを返します 想定どおりに実行されているライブルールを返します。 |
| != | execution_state = limited | 現在スロットリング状態にないライブルールを返します |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。