Recuperare i log Python non elaborati

Supportato in:

Questo documento spiega come utilizzare l'endpoint /api/external/v1/logging/python con i filtri per recuperare solo i dati di log necessari. Fornisce una panoramica dei filtri generici e specifici di Google Security Operations, insieme a query di esempio per i casi d'uso comuni. Per informazioni dettagliate su /api/external/v1/logging/python e altri endpoint API, consulta la documentazione Swagger localizzata.

Filtrare per recuperare dettagli specifici

Puoi utilizzare due tipi di filtri: filtri specifici di Google SecOps e filtri generici.

Filtri specifici di Google SecOps

  • labels.integration_name
  • labels.integration_instance
  • labels.integration_version
  • labels.connector_name
  • labels.connector_instance
  • labels.action_name
  • labels.job_name
  • labels.correlation_id

Filtri generici di Google SecOps

Per saperne di più sui filtri di log integrati, consulta Creare query utilizzando il linguaggio di query di Logging.

Esempi di filtri comuni

Puoi utilizzare gli esempi in questa sezione per recuperare informazioni specifiche.

Versione integrazione

Per recuperare i log di una versione specifica dell'integrazione, utilizza i seguenti filtri:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"
 Ad esempio:
labels.integration_name="Exchange" AND labels.integration_version="19"

Istanza di integrazione

Per recuperare i log per un'istanza di integrazione specifica, utilizza il seguente filtro:

labels.integration_instance="INTEGRATION_NAME"
 Ad esempio:
labels.integration_instance="GoogleAlertCenter_1"

Tutti i connettori

Per recuperare i log di tutti i connettori, utilizza il seguente filtro con l'espressione regolare:

labels.connector_name=~"^."

Connettore specifico

Per recuperare i log di un connettore specifico, utilizza il seguente filtro:

labels.connector_name="CONNECTOR_NAME"
 Ad esempio:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

Tutti i job

Per recuperare i log di tutti i job, utilizza il seguente filtro con l'espressione regolare:

labels.job_name=~"^."

Job specifico

Per recuperare i log di un job specifico, utilizza il seguente filtro:

labels.job_name="JOB_NAME"
 Ad esempio:
labels.job_name="Cases Collector"

Tutte le azioni

Per recuperare i log di tutte le azioni, utilizza il seguente filtro con l'espressione regolare:

labels.action_name=~"^."

Azione specifica

Per recuperare i log per un'azione specifica, utilizza il seguente filtro:

labels.action_name="ACTION_NAME"
 Ad esempio:
labels.action_name="Enrich Entities"

Azioni non riuscite

Per recuperare i log di un'azione non riuscita, utilizza insieme i seguenti filtri:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")
 Ad esempio:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

Utilizza l'operatore SEARCH per le ricerche di testo libero e per il filtraggio in base a etichette specifiche. Ti consente di cercare parole chiave, frasi o valori in vari campi delle voci di log, incluse le etichette. Esegue la ricerca in più campi all'interno della voce di log, il che è utile per trovare record che contengono testo specifico in uno qualsiasi dei campi. Puoi utilizzare l'operatore per ricerche che fanno distinzione tra maiuscole e minuscole o che non fanno distinzione tra maiuscole e minuscole.

Per eseguire una ricerca, utilizza il seguente filtro:

SEARCH("FREE_TEXT")

Ad esempio:
SEARCH("Result Value: False") cerca la frase esatta Result Value: False in qualsiasi campo della voce di log.

Ad esempio:
SEARCH("Find my CASE SensiTive stRing") esegue una ricerca sensibile alle maiuscole e minuscole della frase Find my CASE SensiTive stRing.

Testo del messaggio specifico

Utilizza il filtro textPayload per eseguire la ricerca all'interno del campo textPayload della voce di log, che è il corpo principale del messaggio di log. È utile per il filtraggio in base al contenuto di testo effettivo del messaggio di log.

Per recuperare i log di un messaggio specifico, utilizza il seguente filtro:

textPayload=~"FREE_TEXT"
 Ad esempio:
textPayload=~"Invalid JSON payload" cerca le voci di log in cui il payload contiene la frase "Invalid JSON payload".

Job di raccolta delle richieste Siemplify

Per recuperare i log relativi agli errori del raccoglitore di casi, utilizza insieme i seguenti filtri:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Errori del server

Per recuperare i log relativi agli errori del server, utilizza il seguente filtro:

textPayload=~"Internal Server Error"

ID correlazione

Per recuperare i log per un ID correlazione, utilizza il seguente filtro:

labels.correlation_id="CORRELATION_ID"
 Ad esempio:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

Filtro timestamp

Per recuperare i log, utilizza i timestamp nel formato RFC 3339 o ISO 8601. Nelle espressioni di query, i timestamp RFC 3339 possono specificare un fuso orario con Z o ±hh:mm. Tutti i timestamp hanno una precisione al nanosecondo.

Per ulteriori informazioni, consulta Valori e conversioni.

Per recuperare i log più recenti di un timestamp specifico (UTC), utilizza il seguente filtro:

timestamp>="ISO_8601_format"
 Ad esempio:
timestamp>="2023-12-02T21:28:23.045Z"

Per recuperare i log di un giorno specifico, utilizza insieme i seguenti filtri:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"
 Ad esempio:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.