Mengambil log Python mentah

Dokumen ini menjelaskan cara menggunakan endpoint /api/external/v1/logging/python dengan filter untuk mengambil hanya data log yang Anda butuhkan. Dokumen ini memberikan ringkasan filter spesifik dan umum Google Security Operations, beserta contoh kueri untuk kasus penggunaan umum. Untuk mengetahui detail tentang /api/external/v1/logging/python dan endpoint API lainnya, lihat dokumentasi Swagger yang dilokalkan.

Memfilter untuk mengambil detail tertentu

Anda dapat menggunakan dua jenis filter: filter khusus Google SecOps dan filter umum.

Filter khusus Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Filter umum Google SecOps

Untuk mengetahui informasi selengkapnya tentang filter log bawaan, lihat Membuat kueri menggunakan bahasa kueri Logging.

Contoh filter umum

Anda dapat menggunakan contoh di bagian ini untuk mengambil informasi tertentu.

Versi integrasi

Untuk mengambil log untuk versi integrasi tertentu, gunakan filter berikut:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Instance integrasi

Untuk mengambil log untuk instance integrasi tertentu, gunakan filter berikut:

labels.integration_instance="INTEGRATION_NAME"

Semua konektor

Untuk mengambil log semua konektor, gunakan filter berikut dengan ekspresi reguler:

labels.connector_name=~"^."

Konektor tertentu

Untuk mengambil log konektor tertentu, gunakan filter berikut:

labels.connector_name="CONNECTOR_NAME"

Semua tugas

Untuk mengambil log semua tugas, gunakan filter berikut dengan ekspresi reguler:

labels.job_name=~"^."

Tugas tertentu

Untuk mengambil log tugas tertentu, gunakan filter berikut:

labels.job_name="JOB_NAME"

Semua tindakan

Untuk mengambil log semua tindakan, gunakan filter berikut dengan ekspresi reguler:

labels.action_name=~"^."

Tindakan spesifik

Untuk mengambil log untuk tindakan tertentu, gunakan filter berikut:

labels.action_name="ACTION_NAME"

Tindakan gagal

Untuk mengambil log tindakan yang gagal, gunakan filter berikut secara bersamaan:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Penelusuran yang peka huruf besar/kecil

Untuk mengambil log untuk hasil penelusuran yang peka huruf besar/kecil, gunakan filter berikut:

SEARCH("FREE_TEXT")

Teks pesan tertentu

Untuk mengambil log pesan tertentu, gunakan filter berikut:

textPayload=~"FREE_TEXT"

Tugas Siemplify Cases Collector

Untuk mengambil log error pengumpul kasus, gunakan filter berikut secara bersamaan:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Kesalahan server

Untuk mengambil log error server, gunakan filter berikut:

textPayload=~"Internal Server Error"

ID Korelasi

Untuk mengambil log untuk ID korelasi, gunakan filter berikut:

labels.correlation_id="CORRELATION_ID"

Filter stempel waktu

Untuk mengambil log, gunakan stempel waktu dalam format RFC 3339 atau ISO 8601. Dalam ekspresi kueri, stempel waktu RFC 3339 dapat menentukan zona waktu dengan Z atau ±hh:mm. Semua stempel waktu memiliki akurasi nanodetik.

Untuk mengetahui informasi selengkapnya, lihat Nilai dan konversi.

Untuk mengambil log yang lebih baru dari stempel waktu tertentu (UTC), gunakan filter berikut:

timestamp>="ISO_8601_format"

Untuk mengambil log untuk hari tertentu, gunakan filter berikut secara bersamaan:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"