Récupérer les journaux Python bruts

Compatible avec :

Ce document explique comment utiliser le point de terminaison /api/external/v1/logging/python avec des filtres pour récupérer uniquement les données de journaux dont vous avez besoin. Il présente un aperçu des filtres génériques et spécifiques à Google Security Operations, ainsi que des exemples de requêtes pour les cas d'utilisation courants. Pour en savoir plus sur /api/external/v1/logging/python et les autres points de terminaison de l'API, consultez la documentation Swagger localisée.

Filtrer pour récupérer des informations spécifiques

Vous pouvez utiliser deux types de filtres : des filtres spécifiques à Google SecOps et des filtres génériques.

Filtres spécifiques à Google SecOps

  • labels.integration_name
  • labels.integration_instance
  • labels.integration_version
  • labels.connector_name
  • labels.connector_instance
  • labels.action_name
  • labels.job_name
  • labels.correlation_id

Filtres génériques Google SecOps

Pour en savoir plus sur les filtres de journaux intégrés, consultez Créer des requêtes à l'aide du langage de requête Logging.

Exemples de filtres courants

Vous pouvez utiliser les exemples de cette section pour récupérer des informations spécifiques.

Version d'intégration

Pour récupérer les journaux d'une version d'intégration spécifique, utilisez les filtres suivants :

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"
 Par exemple :
labels.integration_name="Exchange" AND labels.integration_version="19"

Instance d'intégration

Pour récupérer les journaux d'une instance d'intégration spécifique, utilisez le filtre suivant :

labels.integration_instance="INTEGRATION_NAME"
 Par exemple :
labels.integration_instance="GoogleAlertCenter_1"

Tous les connecteurs

Pour récupérer les journaux de tous les connecteurs, utilisez le filtre suivant avec l'expression régulière :

labels.connector_name=~"^."

Connecteur spécifique

Pour récupérer les journaux d'un connecteur spécifique, utilisez le filtre suivant :

labels.connector_name="CONNECTOR_NAME"
 Par exemple :
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

Tous les jobs

Pour récupérer les journaux de tous les jobs, utilisez le filtre suivant avec l'expression régulière :

labels.job_name=~"^."

Job spécifique

Pour récupérer les journaux d'un job spécifique, utilisez le filtre suivant :

labels.job_name="JOB_NAME"
 Par exemple :
labels.job_name="Cases Collector"

Toutes les actions

Pour récupérer les journaux de toutes les actions, utilisez le filtre suivant avec l'expression régulière :

labels.action_name=~"^."

Action spécifique

Pour récupérer les journaux d'une action spécifique, utilisez le filtre suivant :

labels.action_name="ACTION_NAME"
 Par exemple :
labels.action_name="Enrich Entities"

Actions ayant échoué

Pour récupérer les journaux d'une action ayant échoué, utilisez les filtres suivants ensemble :

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")
 Par exemple :
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

Utilisez l'opérateur SEARCH pour les recherches en texte libre et pour filtrer les résultats en fonction de libellés spécifiques. Elle vous permet de rechercher des mots clés, des expressions ou des valeurs dans différents champs des entrées de journal, y compris les libellés. Elle recherche dans plusieurs champs de l'entrée de journal, ce qui est utile pour trouver les enregistrements contenant un texte spécifique dans l'un des champs. Vous pouvez utiliser l'opérateur pour effectuer des recherches sensibles ou non à la casse.

Pour effectuer une recherche, utilisez le filtre suivant :

SEARCH("FREE_TEXT")

Par exemple,
SEARCH("Result Value: False") recherche l'expression exacte Result Value: False dans n'importe quel champ de l'entrée de journal.

Par exemple,
SEARCH("Find my CASE SensiTive stRing") effectue une recherche sensible à la casse pour l'expression Find my CASE SensiTive stRing.

Texte du message spécifique

Utilisez le filtre textPayload pour effectuer une recherche dans le champ textPayload de l'entrée de journal, qui correspond au corps principal du message du journal. Il est utile pour filtrer en fonction du contenu textuel du message de journal.

Pour récupérer les journaux d'un message spécifique, utilisez le filtre suivant :

textPayload=~"FREE_TEXT"
 Par exemple :
textPayload=~"Invalid JSON payload" recherche les entrées de journal dont la charge utile contient l'expression "Charge utile JSON non valide".

Job de collecte des cas Siemplify

Pour récupérer les journaux des erreurs du collecteur de cas, utilisez les filtres suivants ensemble :

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Erreurs de serveur

Pour récupérer les journaux des erreurs de serveur, utilisez le filtre suivant :

textPayload=~"Internal Server Error"

ID de corrélation

Pour récupérer les journaux d'un ID de corrélation, utilisez le filtre suivant :

labels.correlation_id="CORRELATION_ID"
 Par exemple :
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

Filtre de code temporel

Pour récupérer les journaux, utilisez des codes temporels au format RFC 3339 ou ISO 8601. Dans les expressions de requête, les codes temporels RFC 3339 peuvent spécifier un fuseau horaire avec Z ou ±hh:mm. Tous les codes temporels sont précis à la nanoseconde près.

Pour en savoir plus, consultez Valeurs et conversions.

Pour récupérer les journaux plus récents qu'un code temporel spécifique (UTC), utilisez le filtre suivant :

timestamp>="ISO_8601_format"
 Par exemple :
timestamp>="2023-12-02T21:28:23.045Z"

Pour récupérer les journaux d'un jour spécifique, utilisez les filtres suivants ensemble :

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"
 Par exemple :
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.