אחזור יומני Python גולמיים

במסמך הזה מוסבר איך להשתמש בנקודת הקצה /api/external/v1/logging/python עם מסננים כדי לאחזר רק את נתוני היומן שאתם צריכים. הוא כולל סקירה כללית של מסננים ספציפיים וכלליים ל-Google Security Operations, וגם שאילתות לדוגמה לתרחישי שימוש נפוצים. לפרטים על /api/external/v1/logging/python ונקודות קצה אחרות של API, אפשר לעיין במסמכי ה-Swagger המותאמים לשפה שלכם.

סינון כדי לאחזר פרטים ספציפיים

אפשר להשתמש בשני סוגים של מסננים: מסננים ספציפיים ל-Google SecOps ומסננים כלליים.

מסננים ספציפיים ל-Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

מסננים כלליים של Google SecOps

מידע נוסף על מסנני יומנים מובנים זמין במאמר יצירת שאילתות באמצעות שפת השאילתות של Logging.

דוגמאות למסננים נפוצים

אפשר להשתמש בדוגמאות שבקטע הזה כדי לאחזר מידע ספציפי.

גרסת השילוב

כדי לאחזר יומנים של גרסה ספציפית של שילוב, משתמשים במסננים הבאים:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

מופע שילוב

כדי לאחזר יומנים של מופע שילוב ספציפי, משתמשים במסנן הבא:

labels.integration_instance="INTEGRATION_NAME"

כל המחברים

כדי לאחזר יומנים של כל המחברים, משתמשים במסנן הבא עם הביטוי הרגולרי:

labels.connector_name=~"^."

מחבר ספציפי

כדי לאחזר יומנים של מחבר ספציפי, משתמשים במסנן הבא:

labels.connector_name="CONNECTOR_NAME"

כל המשרות

כדי לאחזר יומנים של כל העבודות, משתמשים במסנן הבא עם הביטוי הרגולרי:

labels.job_name=~"^."

משרה ספציפית

כדי לאחזר יומנים של משימה ספציפית, משתמשים במסנן הבא:

labels.job_name="JOB_NAME"

כל הפעולות

כדי לאחזר יומנים של כל הפעולות, משתמשים במסנן הבא עם הביטוי הרגולרי:

labels.action_name=~"^."

פעולה ספציפית

כדי לאחזר יומנים של פעולה ספציפית, משתמשים במסנן הבא:

labels.action_name="ACTION_NAME"

פעולות שנכשלו

כדי לאחזר יומנים של פעולה שנכשלה, משתמשים במסננים הבאים ביחד:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

חיפוש

משתמשים באופרטור SEARCH לחיפושים של טקסט חופשי ולסינון לפי תוויות ספציפיות. אפשר לחפש מילות מפתח, ביטויים או ערכים בשדות שונים של רשומות היומן, כולל תוויות. החיפוש מתבצע בכמה שדות ברשומה ביומן, ולכן הוא שימושי למציאת רשומות שמכילות טקסט ספציפי בכל אחד מהשדות. אפשר להשתמש באופרטור לחיפושים רגישים לאותיות רישיות או לא רגישים לאותיות רישיות.

כדי לבצע חיפוש, משתמשים במסנן הבא:

SEARCH("FREE_TEXT")

לדוגמה:
SEARCH("Result Value: False") מחפש את הביטוי המדויק Result Value: False בכל שדה ברשומה ביומן.

לדוגמה:
SEARCH("Find my CASE SensiTive stRing") מבצע חיפוש תלוי אותיות רישיות של הביטוי Find my CASE SensiTive stRing.

טקסט ספציפי של ההודעה

משתמשים במסנן textPayload כדי לחפש בשדה textPayload של הרשומה ביומן, שהוא הגוף העיקרי של הודעת היומן. הסינון הזה שימושי כשרוצים לסנן לפי תוכן הטקסט בפועל של ההודעה ביומן.

כדי לאחזר יומנים של הודעה ספציפית, משתמשים במסנן הבא:

textPayload=~"FREE_TEXT"

משימת איסוף של Siemplify Cases

כדי לאחזר יומנים של שגיאות בכלי לאיסוף בקשות, משתמשים במסננים הבאים ביחד:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

שגיאות שרת

כדי לאחזר יומנים של שגיאות בשרת, משתמשים במסנן הבא:

textPayload=~"Internal Server Error"

מזהה קורלציה

כדי לאחזר יומנים של מזהה קורלציה, משתמשים במסנן הבא:

labels.correlation_id="CORRELATION_ID"

מסנן חותמות זמן

כדי לאחזר יומנים, צריך להשתמש בחותמות זמן בפורמט RFC 3339 או ISO 8601. בביטויי שאילתה, חותמות זמן בפורמט RFC 3339 יכולות לציין אזור זמן עם Z או ±hh:mm. כל חותמות הזמן מדויקות עד לרמת הננו-שנייה.

מידע נוסף זמין במאמר ערכים והמרות.

כדי לאחזר יומנים חדשים יותר מחותמת זמן ספציפית (UTC), משתמשים במסנן הבא:

timestamp>="ISO_8601_format"

כדי לאחזר יומנים של יום מסוים, משתמשים במסננים הבאים ביחד:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"