Cómo recuperar registros sin procesar de Python

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo usar el endpoint /api/external/v1/logging/python con filtros para recuperar solo los datos de registro que necesitas. Proporciona una descripción general de los filtros genéricos y específicos de Google Security Operations, junto con ejemplos de consultas para casos de uso comunes. Para obtener detalles sobre /api/external/v1/logging/python y otros extremos de la API, consulta la documentación de Swagger localizada.

Aplica filtros para recuperar detalles específicos

Puedes usar dos tipos de filtros: filtros genéricos y filtros específicos de Google SecOps.

Filtros específicos de Google SecOps

  • labels.integration_name
  • labels.integration_instance
  • labels.integration_version
  • labels.connector_name
  • labels.connector_instance
  • labels.action_name
  • labels.job_name
  • labels.correlation_id

Filtros genéricos de Google SecOps

Para obtener más información sobre los filtros de registros integrados, consulta Compila consultas con el lenguaje de consulta de Logging.

Ejemplos de filtros comunes

Puedes usar los ejemplos de esta sección para recuperar información específica.

Versión de la integración

Para recuperar registros de una versión de integración específica, usa los siguientes filtros:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"
 Por ejemplo:
labels.integration_name="Exchange" AND labels.integration_version="19"

Instancia de integración

Para recuperar los registros de una instancia de integración específica, usa el siguiente filtro:

labels.integration_instance="INTEGRATION_NAME"
 Por ejemplo:
labels.integration_instance="GoogleAlertCenter_1"

Todos los conectores

Para recuperar los registros de todos los conectores, usa el siguiente filtro con la expresión regular:

labels.connector_name=~"^."

Conector específico

Para recuperar los registros de un conector específico, usa el siguiente filtro:

labels.connector_name="CONNECTOR_NAME"
 Por ejemplo:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

Todos los trabajos

Para recuperar los registros de todos los trabajos, usa el siguiente filtro con la expresión regular:

labels.job_name=~"^."

Trabajo específico

Para recuperar los registros de un trabajo específico, usa el siguiente filtro:

labels.job_name="JOB_NAME"
 Por ejemplo:
labels.job_name="Cases Collector"

Todas las acciones

Para recuperar los registros de todas las acciones, usa el siguiente filtro con la expresión regular:

labels.action_name=~"^."

Acción específica

Para recuperar los registros de una acción específica, usa el siguiente filtro:

labels.action_name="ACTION_NAME"
 Por ejemplo:
labels.action_name="Enrich Entities"

Acciones con errores

Para recuperar los registros de una acción fallida, usa los siguientes filtros en conjunto:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")
 Por ejemplo:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

Usa el operador SEARCH para las búsquedas de texto libre y para filtrar según etiquetas específicas. Te permite buscar palabras clave, frases o valores en varios campos de las entradas de registro, incluidas las etiquetas. Busca en varios campos dentro de la entrada de registro, lo que resulta útil para encontrar registros que contengan texto específico en cualquiera de los campos. Puedes usar el operador para búsquedas que distinguen entre mayúsculas y minúsculas o que no lo hacen.

Para realizar una búsqueda, usa el siguiente filtro:

SEARCH("FREE_TEXT")

Por ejemplo,
SEARCH("Result Value: False") busca la frase exacta Result Value: False en cualquier campo de la entrada de registro.

Por ejemplo,
SEARCH("Find my CASE SensiTive stRing") realiza una búsqueda que distingue entre mayúsculas y minúsculas de la frase Find my CASE SensiTive stRing.

Texto del mensaje específico

Usa el filtro textPayload para buscar dentro del campo textPayload de la entrada de registro, que es el cuerpo principal del mensaje de registro. Es útil para filtrar en función del contenido de texto real del mensaje de registro.

Para recuperar los registros de un mensaje específico, usa el siguiente filtro:

textPayload=~"FREE_TEXT"
 Por ejemplo:
textPayload=~"Invalid JSON payload" busca entradas de registro en las que la carga útil contiene la frase "Invalid JSON payload".

Trabajo de recopilador de casos de Siemplify

Para recuperar los registros de los errores del recopilador de casos, usa los siguientes filtros juntos:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Errores de servidor

Para recuperar los registros de errores del servidor, usa el siguiente filtro:

textPayload=~"Internal Server Error"

ID de correlación

Para recuperar registros de un ID de correlación, usa el siguiente filtro:

labels.correlation_id="CORRELATION_ID"
 Por ejemplo:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

Filtro de marca de tiempo

Para recuperar los registros, usa marcas de tiempo en formato RFC 3339 o ISO 8601. En las expresiones de consulta, las marcas de tiempo RFC 3339 pueden especificar una zona horaria con Z o ±hh:mm. Todas las marcas de tiempo tienen precisión de nanosegundos.

Para obtener más información, consulta Valores y conversiones.

Para recuperar registros posteriores a una marca de tiempo específica (UTC), usa el siguiente filtro:

timestamp>="ISO_8601_format"
 Por ejemplo:
timestamp>="2023-12-02T21:28:23.045Z"

Para recuperar los registros de un día específico, usa los siguientes filtros juntos:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"
 Por ejemplo:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.