Cómo recuperar registros sin procesar de Python

En este documento, se explica cómo usar el endpoint /api/external/v1/logging/python con filtros para recuperar solo los datos de registro que necesitas. Proporciona una descripción general de los filtros genéricos y específicos de Google Security Operations, junto con ejemplos de consultas para casos de uso comunes. Para obtener detalles sobre /api/external/v1/logging/python y otros extremos de la API, consulta la documentación de Swagger localizada.

Aplica filtros para recuperar detalles específicos

Puedes usar dos tipos de filtros: filtros específicos de Google SecOps y filtros genéricos.

Filtros específicos de Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Filtros genéricos de Google SecOps

Para obtener más información sobre los filtros de registros integrados, consulta Compila consultas con el lenguaje de consulta de Logging.

Ejemplos de filtros comunes

Puedes usar los ejemplos de esta sección para recuperar información específica.

Versión de la integración

Para recuperar registros de una versión de integración específica, usa los siguientes filtros:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Instancia de integración

Para recuperar los registros de una instancia de integración específica, usa el siguiente filtro:

labels.integration_instance="INTEGRATION_NAME"

Todos los conectores

Para recuperar los registros de todos los conectores, usa el siguiente filtro con la expresión regular:

labels.connector_name=~"^."

Conector específico

Para recuperar los registros de un conector específico, usa el siguiente filtro:

labels.connector_name="CONNECTOR_NAME"

Todos los trabajos

Para recuperar los registros de todos los trabajos, usa el siguiente filtro con la expresión regular:

labels.job_name=~"^."

Trabajo específico

Para recuperar los registros de un trabajo específico, usa el siguiente filtro:

labels.job_name="JOB_NAME"

Todas las acciones

Para recuperar los registros de todas las acciones, usa el siguiente filtro con la expresión regular:

labels.action_name=~"^."

Acción específica

Para recuperar los registros de una acción específica, usa el siguiente filtro:

labels.action_name="ACTION_NAME"

Acciones con errores

Para recuperar los registros de una acción fallida, usa los siguientes filtros en conjunto:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Búsqueda que distingue mayúsculas de minúsculas

Para recuperar registros de un resultado de búsqueda que distingue mayúsculas de minúsculas, usa el siguiente filtro:

SEARCH("FREE_TEXT")

Texto del mensaje específico

Para recuperar los registros de un mensaje específico, usa el siguiente filtro:

textPayload=~"FREE_TEXT"

Trabajo de recopilador de casos de Siemplify

Para recuperar los registros de los errores del recopilador de casos, usa los siguientes filtros juntos:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Errores de servidor

Para recuperar los registros de errores del servidor, usa el siguiente filtro:

textPayload=~"Internal Server Error"

ID de correlación

Para recuperar registros de un ID de correlación, usa el siguiente filtro:

labels.correlation_id="CORRELATION_ID"

Filtro de marca de tiempo

Para recuperar los registros, usa marcas de tiempo en formato RFC 3339 o ISO 8601. En las expresiones de consulta, las marcas de tiempo RFC 3339 pueden especificar una zona horaria con Z o ±hh:mm. Todas las marcas de tiempo tienen precisión de nanosegundos.

Para obtener más información, consulta Valores y conversiones.

Para recuperar registros posteriores a una marca de tiempo específica (UTC), usa el siguiente filtro:

timestamp>="ISO_8601_format"

Para recuperar los registros de un día específico, usa los siguientes filtros juntos:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"