Récupérer les journaux Python bruts

Ce document explique comment utiliser le point de terminaison /api/external/v1/logging/python avec des filtres pour récupérer uniquement les données de journaux dont vous avez besoin. Il présente les filtres génériques et spécifiques à Google Security Operations, ainsi que des exemples de requêtes pour les cas d'utilisation courants. Pour en savoir plus sur /api/external/v1/logging/python et les autres points de terminaison de l'API, consultez la documentation Swagger localisée.

Filtrer pour récupérer des informations spécifiques

Vous pouvez utiliser deux types de filtres : des filtres spécifiques à Google SecOps et des filtres génériques.

Filtres spécifiques à Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Filtres génériques Google SecOps

Pour en savoir plus sur les filtres de journaux intégrés, consultez Créer des requêtes à l'aide du langage de requête Logging.

Exemples de filtres courants

Vous pouvez utiliser les exemples de cette section pour récupérer des informations spécifiques.

Version d'intégration

Pour récupérer les journaux d'une version d'intégration spécifique, utilisez les filtres suivants :

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Instance d'intégration

Pour récupérer les journaux d'une instance d'intégration spécifique, utilisez le filtre suivant :

labels.integration_instance="INTEGRATION_NAME"

Tous les connecteurs

Pour récupérer les journaux de tous les connecteurs, utilisez le filtre suivant avec l'expression régulière :

labels.connector_name=~"^."

Connecteur spécifique

Pour récupérer les journaux d'un connecteur spécifique, utilisez le filtre suivant :

labels.connector_name="CONNECTOR_NAME"

Tous les jobs

Pour récupérer les journaux de tous les jobs, utilisez le filtre suivant avec l'expression régulière :

labels.job_name=~"^."

Job spécifique

Pour récupérer les journaux d'un job spécifique, utilisez le filtre suivant :

labels.job_name="JOB_NAME"

Toutes les actions

Pour récupérer les journaux de toutes les actions, utilisez le filtre suivant avec l'expression régulière :

labels.action_name=~"^."

Action spécifique

Pour récupérer les journaux d'une action spécifique, utilisez le filtre suivant :

labels.action_name="ACTION_NAME"

Actions ayant échoué

Pour récupérer les journaux d'une action ayant échoué, utilisez les filtres suivants ensemble :

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Recherche sensible à la casse

Pour récupérer les journaux d'un résultat de recherche sensible à la casse, utilisez le filtre suivant :

SEARCH("FREE_TEXT")

Texte du message spécifique

Pour récupérer les journaux d'un message spécifique, utilisez le filtre suivant :

textPayload=~"FREE_TEXT"

Job du collecteur de cas Siemplify

Pour récupérer les journaux des erreurs du collecteur de cas, utilisez les filtres suivants ensemble :

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Erreurs de serveur

Pour récupérer les journaux des erreurs de serveur, utilisez le filtre suivant :

textPayload=~"Internal Server Error"

ID de corrélation

Pour récupérer les journaux d'un ID de corrélation, utilisez le filtre suivant :

labels.correlation_id="CORRELATION_ID"

Filtre de code temporel

Pour récupérer les journaux, utilisez des codes temporels au format RFC 3339 ou ISO 8601. Dans les expressions de requête, les codes temporels RFC 3339 peuvent spécifier un fuseau horaire avec Z ou ±hh:mm. Tous les codes temporels sont précis à la nanoseconde près.

Pour en savoir plus, consultez Valeurs et conversions.

Pour récupérer les journaux plus récents qu'un code temporel spécifique (UTC), utilisez le filtre suivant :

timestamp>="ISO_8601_format"

Pour récupérer les journaux d'un jour spécifique, utilisez les filtres suivants ensemble :

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"