Recuperare i log Python non elaborati

Questo documento spiega come utilizzare l'endpoint /api/external/v1/logging/python con i filtri per recuperare solo i dati di log necessari. Fornisce una panoramica dei filtri generici e specifici di Google Security Operations, insieme a query di esempio per i casi d'uso comuni. Per informazioni dettagliate su /api/external/v1/logging/python e altri endpoint API, consulta la documentazione Swagger localizzata.

Filtrare per recuperare dettagli specifici

Puoi utilizzare due tipi di filtri: filtri specifici di Google SecOps e filtri generici.

Filtri specifici di Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Filtri generici di Google SecOps

Per ulteriori informazioni sui filtri dei log integrati, consulta Creare query utilizzando il linguaggio di query di Logging.

Esempi di filtri comuni

Puoi utilizzare gli esempi in questa sezione per recuperare informazioni specifiche.

Versione integrazione

Per recuperare i log di una versione specifica dell'integrazione, utilizza i seguenti filtri:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Istanza di integrazione

Per recuperare i log di un'istanza di integrazione specifica, utilizza il seguente filtro:

labels.integration_instance="INTEGRATION_NAME"

Tutti i connettori

Per recuperare i log di tutti i connettori, utilizza il seguente filtro con l'espressione regolare:

labels.connector_name=~"^."

Connettore specifico

Per recuperare i log di un connettore specifico, utilizza il seguente filtro:

labels.connector_name="CONNECTOR_NAME"

Tutti i job

Per recuperare i log di tutti i job, utilizza il seguente filtro con l'espressione regolare:

labels.job_name=~"^."

Job specifico

Per recuperare i log di un job specifico, utilizza il seguente filtro:

labels.job_name="JOB_NAME"

Tutte le azioni

Per recuperare i log di tutte le azioni, utilizza il seguente filtro con l'espressione regolare:

labels.action_name=~"^."

Azione specifica

Per recuperare i log per un'azione specifica, utilizza il seguente filtro:

labels.action_name="ACTION_NAME"

Azioni non riuscite

Per recuperare i log di un'azione non riuscita, utilizza insieme i seguenti filtri:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Ricerca sensibile alle maiuscole

Per recuperare i log per un risultato di ricerca sensibile alle maiuscole, utilizza il seguente filtro:

SEARCH("FREE_TEXT")

Testo del messaggio specifico

Per recuperare i log di un messaggio specifico, utilizza il seguente filtro:

textPayload=~"FREE_TEXT"

Job di raccolta delle richieste Siemplify

Per recuperare i log relativi agli errori del raccoglitore di casi, utilizza insieme i seguenti filtri:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Errori del server

Per recuperare i log relativi agli errori del server, utilizza il seguente filtro:

textPayload=~"Internal Server Error"

ID correlazione

Per recuperare i log per un ID correlazione, utilizza il seguente filtro:

labels.correlation_id="CORRELATION_ID"

Filtro timestamp

Per recuperare i log, utilizza i timestamp nel formato RFC 3339 o ISO 8601. Nelle espressioni di query, i timestamp RFC 3339 possono specificare un fuso orario con Z o ±hh:mm. Tutti i timestamp hanno una precisione al nanosecondo.

Per ulteriori informazioni, consulta Valori e conversioni.

Per recuperare i log più recenti di un timestamp specifico (UTC), utilizza il seguente filtro:

timestamp>="ISO_8601_format"

Per recuperare i log di un giorno specifico, utilizza insieme i seguenti filtri:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"