本頁面由 Cloud Translation API 翻譯而成。

擷取原始 Python 記錄

支援的國家/地區：

Google SecOps SOAR

本文說明如何搭配篩選器使用 /api/external/v1/logging/python 端點，只擷取所需的記錄資料。本文將概略說明 Google Security Operations 專用和一般篩選器，並提供常見用途的查詢範例。如要瞭解 /api/external/v1/logging/python 和其他 API 端點的詳細資料，請參閱本地化的 Swagger 說明文件。

篩選以擷取特定詳細資料

您可以使用兩種篩選器：Google SecOps 專用篩選器和一般篩選器。

Google SecOps 專用篩選條件

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Google SecOps 一般篩選器

如要進一步瞭解內建記錄篩選器，請參閱「使用 Logging 查詢語言建構查詢」。

常見的篩選器範例

您可以參考本節的範例，擷取特定資訊。

整合版本

如要擷取特定整合版本的記錄，請使用下列篩選器：

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

例如：
labels.integration_name="Exchange" AND labels.integration_version="19"

整合執行個體

如要擷取特定整合例項的記錄，請使用下列篩選器：

labels.integration_instance="INTEGRATION_NAME"

例如：
labels.integration_instance="GoogleAlertCenter_1"

所有連接器

如要擷取所有連結器的記錄，請使用下列篩選器和規則運算式：

labels.connector_name=~"^."

特定連接器

如要擷取特定連結器的記錄，請使用下列篩選器：

labels.connector_name="CONNECTOR_NAME"

例如：
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

所有工作

如要擷取所有工作的記錄，請使用下列篩選器和規則運算式：

labels.job_name=~"^."

特定工作

如要擷取特定工作的記錄，請使用下列篩選器：

labels.job_name="JOB_NAME"

例如：
labels.job_name="Cases Collector"

所有動作

如要擷取所有動作的記錄，請使用下列篩選器和規則運算式：

labels.action_name=~"^."

特定動作

如要擷取特定動作的記錄，請使用下列篩選器：

labels.action_name="ACTION_NAME"

例如：
labels.action_name="Enrich Entities"

失敗的動作數

如要擷取失敗動作的記錄，請一併使用下列篩選條件：

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

例如：
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

搜尋

使用 SEARCH 運算子進行任意文字搜尋，以及依特定標籤篩選。您可以搜尋記錄項目各種欄位中的關鍵字、詞組或值，包括標籤。這項功能會搜尋記錄項目中的多個欄位，因此有助於尋找在任何欄位中包含特定文字的記錄。您可以使用運算子執行區分大小寫或不區分大小寫的搜尋。

如要執行搜尋，請使用下列篩選器：

SEARCH("FREE_TEXT")

例如：
SEARCH("Result Value: False") 會在記錄項目的任何欄位中，搜尋完全相符的「Result Value: False」詞組。

例如：
SEARCH("Find my CASE SensiTive stRing") 會區分大小寫，搜尋詞組 Find my CASE SensiTive stRing。

特定訊息文字

使用 textPayload 篩選器在記錄項目的 textPayload 欄位中搜尋，這是記錄訊息的主要內容。這項功能可根據記錄訊息的實際文字內容進行篩選。

如要擷取特定訊息的記錄，請使用下列篩選器：

textPayload=~"FREE_TEXT"

例如：
textPayload=~"Invalid JSON payload" 會搜尋酬載包含「Invalid JSON payload」字詞的記錄項目。

Siemplify Cases Collector 工作

如要擷取案件收集器錯誤的記錄，請一併使用下列篩選器：

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

伺服器錯誤

如要擷取伺服器錯誤的記錄，請使用下列篩選器：

textPayload=~"Internal Server Error"

關聯性 ID

如要擷取關聯 ID 的記錄，請使用下列篩選器：

labels.correlation_id="CORRELATION_ID"

例如：
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

時間戳記篩選器

如要擷取記錄，請使用 RFC 3339 或 ISO 8601 格式的時間戳記。在查詢運算式中，RFC 3339 時間戳記可使用 Z 或 ±hh:mm 指定時區。所有時間戳記的精確度都可達奈秒。

詳情請參閱「價值和轉換」一文。

如要擷取特定時間戳記 (世界標準時間) 之後的記錄，請使用下列篩選器：

timestamp>="ISO_8601_format"

例如：
timestamp>="2023-12-02T21:28:23.045Z"

如要擷取特定日期的記錄，請一併使用下列篩選條件：

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

例如：
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。