Halaman ini diterjemahkan oleh Cloud Translation API.

Mengambil log Python mentah

Didukung di:

Google secops SOAR

Dokumen ini menjelaskan cara menggunakan endpoint /api/external/v1/logging/python dengan filter untuk mengambil hanya data log yang Anda butuhkan. Dokumen ini memberikan ringkasan filter spesifik dan umum Google Security Operations, beserta contoh kueri untuk kasus penggunaan umum. Untuk mengetahui detail tentang /api/external/v1/logging/python dan endpoint API lainnya, lihat dokumentasi Swagger yang dilokalkan.

Memfilter untuk mengambil detail tertentu

Anda dapat menggunakan dua jenis filter: filter khusus Google SecOps dan filter umum.

Filter khusus Google SecOps

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Filter umum Google SecOps

Untuk mengetahui informasi selengkapnya tentang filter log bawaan, lihat Membuat kueri menggunakan bahasa kueri Logging.

Contoh filter umum

Anda dapat menggunakan contoh di bagian ini untuk mengambil informasi tertentu.

Versi integrasi

Untuk mengambil log untuk versi integrasi tertentu, gunakan filter berikut:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Contoh:
labels.integration_name="Exchange" AND labels.integration_version="19"

Instance integrasi

Untuk mengambil log untuk instance integrasi tertentu, gunakan filter berikut:

labels.integration_instance="INTEGRATION_NAME"

Contoh:
labels.integration_instance="GoogleAlertCenter_1"

Semua konektor

Untuk mengambil log semua konektor, gunakan filter berikut dengan ekspresi reguler:

labels.connector_name=~"^."

Konektor tertentu

Untuk mengambil log konektor tertentu, gunakan filter berikut:

labels.connector_name="CONNECTOR_NAME"

Contoh:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

Semua tugas

Untuk mengambil log semua tugas, gunakan filter berikut dengan ekspresi reguler:

labels.job_name=~"^."

Tugas tertentu

Untuk mengambil log tugas tertentu, gunakan filter berikut:

labels.job_name="JOB_NAME"

Contoh:
labels.job_name="Cases Collector"

Semua tindakan

Untuk mengambil log semua tindakan, gunakan filter berikut dengan ekspresi reguler:

labels.action_name=~"^."

Tindakan spesifik

Untuk mengambil log tindakan tertentu, gunakan filter berikut:

labels.action_name="ACTION_NAME"

Contoh:
labels.action_name="Enrich Entities"

Tindakan gagal

Untuk mengambil log tindakan yang gagal, gunakan filter berikut secara bersamaan:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Contoh:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

Telusuri

Gunakan operator SEARCH untuk penelusuran teks bebas dan untuk memfilter berdasarkan label tertentu. Dengan alat ini, Anda dapat menelusuri kata kunci, frasa, atau nilai dalam berbagai kolom entri log, termasuk label. Penelusuran ini dilakukan di beberapa kolom dalam entri log, sehingga berguna untuk menemukan catatan yang berisi teks tertentu di salah satu kolom. Anda dapat menggunakan operator untuk penelusuran yang peka huruf besar/kecil atau tidak peka huruf besar/kecil.

Untuk melakukan penelusuran, gunakan filter berikut:

SEARCH("FREE_TEXT")

Misalnya:
SEARCH("Result Value: False") menelusuri frasa Result Value: False yang sama persis di kolom entri log mana pun.

Misalnya:
SEARCH("Find my CASE SensiTive stRing") melakukan penelusuran peka huruf besar/kecil untuk frasa Find my CASE SensiTive stRing.

Teks pesan tertentu

Gunakan filter textPayload untuk menelusuri dalam kolom textPayload entri log, yang merupakan isi utama pesan log. Berguna untuk memfilter berdasarkan konten teks sebenarnya dari pesan log.

Untuk mengambil log pesan tertentu, gunakan filter berikut:

textPayload=~"FREE_TEXT"

Misalnya:
textPayload=~"Invalid JSON payload" menelusuri entri log yang payload-nya berisi frasa "Payload JSON tidak valid".

Tugas Siemplify Cases Collector

Untuk mengambil log error pengumpul kasus, gunakan filter berikut secara bersamaan:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Kesalahan server

Untuk mengambil log error server, gunakan filter berikut:

textPayload=~"Internal Server Error"

ID Korelasi

Untuk mengambil log untuk ID korelasi, gunakan filter berikut:

labels.correlation_id="CORRELATION_ID"

Contoh:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

Filter stempel waktu

Untuk mengambil log, gunakan stempel waktu dalam format RFC 3339 atau ISO 8601. Dalam ekspresi kueri, stempel waktu RFC 3339 dapat menentukan zona waktu dengan Z atau ±hh:mm. Semua stempel waktu memiliki akurasi nanodetik.

Untuk mengetahui informasi selengkapnya, lihat Nilai dan konversi.

Untuk mengambil log yang lebih baru dari stempel waktu tertentu (UTC), gunakan filter berikut:

timestamp>="ISO_8601_format"

Contoh:
timestamp>="2023-12-02T21:28:23.045Z"

Untuk mengambil log untuk hari tertentu, gunakan filter berikut secara bersamaan:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

Contoh:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.