Unformatierte Python-Logs abrufen

In diesem Dokument wird beschrieben, wie Sie den /api/external/v1/logging/python-Endpunkt mit Filtern verwenden, um nur die Logdaten abzurufen, die Sie benötigen. Sie bietet einen Überblick über Google Security Operations-spezifische und generische Filter sowie Beispielabfragen für häufige Anwendungsfälle. Weitere Informationen zu /api/external/v1/logging/python und anderen API-Endpunkten finden Sie in Ihrer lokalisierten Swagger-Dokumentation.

Filtern, um bestimmte Details abzurufen

Sie können zwei Arten von Filtern verwenden: Google SecOps-spezifische Filter und allgemeine Filter.

Google SecOps-spezifische Filter

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Allgemeine Google SecOps-Filter

Weitere Informationen zu integrierten Logfiltern finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.

Beispiele für häufig verwendete Filter

Anhand der Beispiele in diesem Abschnitt können Sie bestimmte Informationen abrufen.

Integrationsversion

Verwenden Sie die folgenden Filter, um Logs für eine bestimmte Integrationsversion abzurufen:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Integrationsinstanz

Verwenden Sie den folgenden Filter, um Logs für eine bestimmte Integrationsinstanz abzurufen:

labels.integration_instance="INTEGRATION_NAME"

Alle Connectors

Verwenden Sie den folgenden Filter mit dem regulären Ausdruck, um Logs für alle Connectors abzurufen:

labels.connector_name=~"^."

Bestimmter Connector

Verwenden Sie den folgenden Filter, um Logs für einen bestimmten Connector abzurufen:

labels.connector_name="CONNECTOR_NAME"

Alle Jobs

Verwenden Sie den folgenden Filter mit dem regulären Ausdruck, um Logs für alle Jobs abzurufen:

labels.job_name=~"^."

Spezifischer Job

Verwenden Sie den folgenden Filter, um Logs für einen bestimmten Job abzurufen:

labels.job_name="JOB_NAME"

Alle Aktionen

Verwenden Sie den folgenden Filter mit dem regulären Ausdruck, um Logs für alle Aktionen abzurufen:

labels.action_name=~"^."

Bestimmte Aktion

Verwenden Sie den folgenden Filter, um Logs für eine bestimmte Aktion abzurufen:

labels.action_name="ACTION_NAME"

Fehlgeschlagene Aktionen

Wenn Sie Logs für eine fehlgeschlagene Aktion abrufen möchten, verwenden Sie die folgenden Filter zusammen:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Groß-/Kleinschreibung bei der Suche beachten

Verwenden Sie den folgenden Filter, um Logs für ein Suchergebnis abzurufen, bei dem die Groß-/Kleinschreibung beachtet wird:

SEARCH("FREE_TEXT")

Bestimmter Nachrichtentext

Verwenden Sie den folgenden Filter, um Logs für eine bestimmte Nachricht abzurufen:

textPayload=~"FREE_TEXT"

Siemplify Cases Collector-Job

Wenn Sie Logs für Fehler des Cases-Collectors abrufen möchten, verwenden Sie die folgenden Filter zusammen:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Serverfehler

Verwenden Sie den folgenden Filter, um Logs für Serverfehler abzurufen:

textPayload=~"Internal Server Error"

Korrelations-ID

Verwenden Sie den folgenden Filter, um Logs für eine Korrelations-ID abzurufen:

labels.correlation_id="CORRELATION_ID"

Zeitstempelfilter

Wenn Sie Protokolle abrufen möchten, verwenden Sie Zeitstempel im RFC 3339- oder ISO 8601-Format. In Abfrageausdrücken können Sie mithilfe von RFC 3339-Zeitstempeln eine Zeitzone mit Z oder ±hh:mm angeben. Alle Zeitstempel sind nanosekundengenau.

Weitere Informationen finden Sie unter Werte und Konvertierungen.

Verwenden Sie den folgenden Filter, um Logs abzurufen, die neuer als ein bestimmter Zeitstempel (UTC) sind:

timestamp>="ISO_8601_format"

Wenn Sie Logs für einen bestimmten Tag abrufen möchten, verwenden Sie die folgenden Filter zusammen:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"