Obtener registros de Python sin procesar

Disponible en:

En este documento se explica cómo usar el endpoint /api/external/v1/logging/python con filtros para obtener solo los datos de registro que necesites. Ofrece una descripción general de los filtros específicos y genéricos de Google Security Operations, junto con consultas de ejemplo para casos prácticos habituales. Para obtener información sobre /api/external/v1/logging/python y otros endpoints de la API, consulta la documentación de Swagger en tu idioma.

Filtrar para obtener detalles específicos

Puede usar dos tipos de filtros: filtros específicos de Google SecOps y filtros genéricos.

Filtros específicos de Google SecOps

  • labels.integration_name
  • labels.integration_instance
  • labels.integration_version
  • labels.connector_name
  • labels.connector_instance
  • labels.action_name
  • labels.job_name
  • labels.correlation_id

Filtros genéricos de Google SecOps

Para obtener más información sobre los filtros de registro integrados, consulta el artículo Crear consultas con el lenguaje de consultas de almacenamiento de registros.

Ejemplos de filtros habituales

Puedes usar los ejemplos de esta sección para obtener información específica.

Versión de integración

Para obtener los registros de una versión de integración específica, usa los siguientes filtros:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"
 Por ejemplo:
labels.integration_name="Exchange" AND labels.integration_version="19"

Instancia de integración

Para obtener los registros de una instancia de integración específica, usa el siguiente filtro:

labels.integration_instance="INTEGRATION_NAME"
 Por ejemplo:
labels.integration_instance="GoogleAlertCenter_1"

Todos los conectores

Para obtener los registros de todos los conectores, usa el siguiente filtro con la expresión regular:

labels.connector_name=~"^."

Conector específico

Para obtener los registros de un conector específico, usa el siguiente filtro:

labels.connector_name="CONNECTOR_NAME"
 Por ejemplo:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

Todas las tareas

Para obtener los registros de todos los trabajos, usa el siguiente filtro con la expresión regular:

labels.job_name=~"^."

Trabajo específico

Para obtener los registros de un trabajo específico, usa el siguiente filtro:

labels.job_name="JOB_NAME"
 Por ejemplo:
labels.job_name="Cases Collector"

Todas las acciones

Para obtener los registros de todas las acciones, usa el siguiente filtro con la expresión regular:

labels.action_name=~"^."

Acción específica

Para obtener los registros de una acción específica, usa el siguiente filtro:

labels.action_name="ACTION_NAME"
 Por ejemplo:
labels.action_name="Enrich Entities"

Acciones fallidas

Para obtener los registros de una acción fallida, usa los siguientes filtros a la vez:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")
 Por ejemplo:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

Usa el operador SEARCH para hacer búsquedas de texto libre y para filtrar por etiquetas específicas. Te permite buscar palabras clave, frases o valores en varios campos de las entradas de registro, incluidas las etiquetas. Busca en varios campos de la entrada de registro, por lo que es útil para encontrar registros que contengan texto específico en cualquiera de los campos. Puedes usar el operador para hacer búsquedas que distingan o no entre mayúsculas y minúsculas.

Para hacer una búsqueda, usa el siguiente filtro:

SEARCH("FREE_TEXT")

Por ejemplo,
SEARCH("Result Value: False") busca la frase exacta Result Value: False en cualquier campo de la entrada de registro.

Por ejemplo,
SEARCH("Find my CASE SensiTive stRing") realiza una búsqueda que distingue entre mayúsculas y minúsculas de la frase Find my CASE SensiTive stRing.

Texto del mensaje específico

Usa el filtro textPayload para buscar en el campo textPayload de la entrada de registro, que es el cuerpo principal del mensaje de registro. Es útil para filtrar en función del contenido de texto real del mensaje de registro.

Para obtener los registros de un mensaje específico, usa el siguiente filtro:

textPayload=~"FREE_TEXT"
 Por ejemplo:
textPayload=~"Invalid JSON payload" busca entradas de registro en las que la carga útil contiene la frase "Invalid JSON payload".

Tarea de recopilador de casos de Siemplify

Para obtener los registros de errores del recopilador de casos, usa los siguientes filtros a la vez:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Errores de servidor

Para obtener los registros de errores del servidor, usa el siguiente filtro:

textPayload=~"Internal Server Error"

ID de correlación

Para obtener los registros de un ID de correlación, usa el siguiente filtro:

labels.correlation_id="CORRELATION_ID"
 Por ejemplo:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

Filtro de marca de tiempo

Para obtener registros, usa marcas de tiempo en formato RFC 3339 o ISO 8601. En las expresiones de consulta, las marcas de tiempo RFC 3339 pueden especificar una zona horaria con Z o ±hh:mm. Todas las marcas de tiempo tienen una precisión de nanosegundos.

Para obtener más información, consulte la sección Valores y conversiones.

Para obtener los registros posteriores a una marca de tiempo específica (UTC), usa el siguiente filtro:

timestamp>="ISO_8601_format"
 Por ejemplo:
timestamp>="2023-12-02T21:28:23.045Z"

Para obtener los registros de un día concreto, usa los siguientes filtros juntos:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"
 Por ejemplo:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.