Obtener registros de Python sin procesar

En este documento se explica cómo usar el endpoint /api/external/v1/logging/python con filtros para obtener solo los datos de registro que necesites. Ofrece una descripción general de los filtros genéricos y específicos de Google Security Operations, así como consultas de ejemplo para casos prácticos habituales. Para obtener información sobre /api/external/v1/logging/python y otros endpoints de la API, consulta la documentación de Swagger en tu idioma.

Filtrar para obtener detalles específicos

Puede usar dos tipos de filtros: filtros específicos de Google SecOps y filtros genéricos.

Filtros específicos de Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Filtros genéricos de Google SecOps

Para obtener más información sobre los filtros de registro integrados, consulta el artículo Crear consultas con el lenguaje de consultas de almacenamiento de registros.

Ejemplos de filtros habituales

Puedes usar los ejemplos de esta sección para obtener información específica.

Versión de integración

Para obtener los registros de una versión de integración específica, usa los siguientes filtros:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Instancia de integración

Para obtener los registros de una instancia de integración específica, usa el siguiente filtro:

labels.integration_instance="INTEGRATION_NAME"

Todos los conectores

Para obtener los registros de todos los conectores, usa el siguiente filtro con la expresión regular:

labels.connector_name=~"^."

Conector específico

Para obtener los registros de un conector específico, usa el siguiente filtro:

labels.connector_name="CONNECTOR_NAME"

Todas las tareas

Para obtener los registros de todos los trabajos, usa el siguiente filtro con la expresión regular:

labels.job_name=~"^."

Trabajo específico

Para obtener los registros de un trabajo específico, usa el siguiente filtro:

labels.job_name="JOB_NAME"

Todas las acciones

Para obtener los registros de todas las acciones, usa el siguiente filtro con la expresión regular:

labels.action_name=~"^."

Acción específica

Para obtener los registros de una acción específica, usa el siguiente filtro:

labels.action_name="ACTION_NAME"

Acciones fallidas

Para obtener los registros de una acción fallida, usa los siguientes filtros a la vez:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Búsqueda que distingue entre mayúsculas y minúsculas

Para obtener los registros de un resultado de búsqueda que distingue entre mayúsculas y minúsculas, usa el siguiente filtro:

SEARCH("FREE_TEXT")

Texto del mensaje específico

Para obtener los registros de un mensaje específico, usa el siguiente filtro:

textPayload=~"FREE_TEXT"

Tarea de recopilador de casos de Siemplify

Para obtener los registros de errores del recopilador de casos, usa los siguientes filtros juntos:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Errores de servidor

Para obtener los registros de errores del servidor, usa el siguiente filtro:

textPayload=~"Internal Server Error"

ID de correlación

Para obtener los registros de un ID de correlación, usa el siguiente filtro:

labels.correlation_id="CORRELATION_ID"

Filtro de marca de tiempo

Para obtener registros, usa marcas de tiempo en formato RFC 3339 o ISO 8601. En las expresiones de consulta, las marcas de tiempo RFC 3339 pueden especificar una zona horaria con Z o ±hh:mm. Todas las marcas de tiempo tienen una precisión de nanosegundos.

Para obtener más información, consulte la sección Valores y conversiones.

Para obtener los registros posteriores a una marca de tiempo específica (UTC), usa el siguiente filtro:

timestamp>="ISO_8601_format"

Para obtener los registros de un día concreto, usa los siguientes filtros juntos:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"