Diese Seite wurde von der Cloud Translation API übersetzt.

Unformatierte Python-Logs abrufen

Unterstützt in:

Google SecOps SOAR

In diesem Dokument wird beschrieben, wie Sie den /api/external/v1/logging/python-Endpunkt mit Filtern verwenden, um nur die benötigten Logdaten abzurufen. Sie bietet einen Überblick über Google Security Operations-spezifische und generische Filter sowie Beispielabfragen für häufige Anwendungsfälle. Weitere Informationen zu /api/external/v1/logging/python und anderen API-Endpunkten finden Sie in Ihrer lokalisierten Swagger-Dokumentation.

Filtern, um bestimmte Details abzurufen

Sie können zwei Arten von Filtern verwenden: Google SecOps-spezifische Filter und allgemeine Filter.

Google SecOps-spezifische Filter

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Allgemeine Google SecOps-Filter

Weitere Informationen zu integrierten Logfiltern finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.

Beispiele für häufig verwendete Filter

Anhand der Beispiele in diesem Abschnitt können Sie bestimmte Informationen abrufen.

Integrationsversion

Verwenden Sie die folgenden Filter, um Logs für eine bestimmte Integrationsversion abzurufen:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Beispiel:
labels.integration_name="Exchange" AND labels.integration_version="19"

Integrationsinstanz

Verwenden Sie den folgenden Filter, um Logs für eine bestimmte Integrationsinstanz abzurufen:

labels.integration_instance="INTEGRATION_NAME"

Beispiel:
labels.integration_instance="GoogleAlertCenter_1"

Alle Connectors

Verwenden Sie den folgenden Filter mit dem regulären Ausdruck, um Logs für alle Connectors abzurufen:

labels.connector_name=~"^."

Bestimmter Connector

Verwenden Sie den folgenden Filter, um Logs für einen bestimmten Connector abzurufen:

labels.connector_name="CONNECTOR_NAME"

Beispiel:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

Alle Jobs

Verwenden Sie den folgenden Filter mit dem regulären Ausdruck, um Logs für alle Jobs abzurufen:

labels.job_name=~"^."

Bestimmter Job

Verwenden Sie den folgenden Filter, um Logs für einen bestimmten Job abzurufen:

labels.job_name="JOB_NAME"

Beispiel:
labels.job_name="Cases Collector"

Alle Aktionen

Wenn Sie Logs für alle Aktionen abrufen möchten, verwenden Sie den folgenden Filter mit dem regulären Ausdruck:

labels.action_name=~"^."

Konkrete Aktion

Verwenden Sie den folgenden Filter, um Logs für eine bestimmte Aktion abzurufen:

labels.action_name="ACTION_NAME"

Beispiel:
labels.action_name="Enrich Entities"

Fehlgeschlagene Aktionen

Wenn Sie Logs für eine fehlgeschlagene Aktion abrufen möchten, verwenden Sie die folgenden Filter zusammen:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Beispiel:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

Suchen

Verwenden Sie den Operator SEARCH für Freitextsuchen und zum Filtern nach bestimmten Labels. Sie können damit in verschiedenen Feldern der Logeinträge, einschließlich Labels, nach Begriffen, Wortgruppen oder Werten suchen. Es wird in mehreren Feldern innerhalb des Logeintrags gesucht. Das ist nützlich, um Datensätze zu finden, die in einem der Felder bestimmten Text enthalten. Sie können den Operator für Suchanfragen verwenden, bei denen die Groß-/Kleinschreibung beachtet oder nicht beachtet wird.

Verwenden Sie den folgenden Filter, um eine Suche durchzuführen:

SEARCH("FREE_TEXT")

Beispiel:
SEARCH("Result Value: False") sucht nach der genauen Wortgruppe Result Value: False in einem beliebigen Feld des Logeintrags.

Beispiel:
SEARCH("Find my CASE SensiTive stRing") führt eine Suche nach dem Begriff Find my CASE SensiTive stRing durch, bei der die Groß- und Kleinschreibung berücksichtigt wird.

Bestimmter Nachrichtentext

Verwenden Sie den Filter textPayload, um im Feld textPayload des Logeintrags zu suchen. Dieses Feld enthält den Hauptteil der Logmeldung. Dies ist nützlich, um nach dem tatsächlichen Textinhalt der Log-Nachricht zu filtern.

Verwenden Sie den folgenden Filter, um Logs für eine bestimmte Nachricht abzurufen:

textPayload=~"FREE_TEXT"

Beispiel:
textPayload=~"Invalid JSON payload" sucht nach Logeinträgen, in denen die Nutzlast den Ausdruck „Invalid JSON payload“ (Ungültige JSON-Nutzlast) enthält.

Siemplify Cases Collector-Job

Wenn Sie Logs für Fehler des Cases-Collectors abrufen möchten, verwenden Sie die folgenden Filter zusammen:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Serverfehler

Verwenden Sie den folgenden Filter, um Logs für Serverfehler abzurufen:

textPayload=~"Internal Server Error"

Korrelations-ID

Verwenden Sie den folgenden Filter, um Logs für eine Korrelations-ID abzurufen:

labels.correlation_id="CORRELATION_ID"

Beispiel:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

Zeitstempelfilter

Verwenden Sie zum Abrufen von Logs Zeitstempel im RFC 3339- oder ISO 8601-Format. In Abfrageausdrücken können Sie mithilfe von RFC 3339-Zeitstempeln eine Zeitzone mit Z oder ±hh:mm angeben. Alle Zeitstempel sind nanosekundengenau.

Weitere Informationen finden Sie unter Werte und Konvertierungen.

Verwenden Sie den folgenden Filter, um Logs abzurufen, die neuer als ein bestimmter Zeitstempel (UTC) sind:

timestamp>="ISO_8601_format"

Beispiel:
timestamp>="2023-12-02T21:28:23.045Z"

Wenn Sie Logs für einen bestimmten Tag abrufen möchten, verwenden Sie die folgenden Filter zusammen:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

Beispiel:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten