このページは Cloud Translation API によって翻訳されました。

未加工の Python ログを取得する

以下でサポートされています。

Google SecOps SOAR

このドキュメントでは、/api/external/v1/logging/python エンドポイントとフィルタを使用して、必要なログデータのみを取得する方法について説明します。Google Security Operations 固有のフィルタと汎用フィルタの概要と、一般的なユースケースのクエリの例を示します。/api/external/v1/logging/python やその他の API エンドポイントの詳細については、ローカライズされた Swagger ドキュメントをご覧ください。

フィルタして特定の詳細情報を取得する

Google SecOps 固有のフィルタと汎用フィルタの 2 種類のフィルタを使用できます。

Google SecOps 固有のフィルタ

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Google SecOps 汎用フィルタ

組み込みのログフィルタの詳細については、Logging のクエリ言語を使用してクエリを作成するをご覧ください。

一般的なフィルタの例

このセクションの例を使用して、特定の情報を取得できます。

統合バージョン

特定の統合バージョンのログを取得するには、次のフィルタを使用します。

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

例:
labels.integration_name="Exchange" AND labels.integration_version="19"

統合インスタンス

特定の統合インスタンスのログを取得するには、次のフィルタを使用します。

labels.integration_instance="INTEGRATION_NAME"

例:
labels.integration_instance="GoogleAlertCenter_1"

すべてのコネクタ

すべてのコネクタのログを取得するには、次のフィルタを正規表現とともに使用します。

labels.connector_name=~"^."

特定のコネクタ

特定のコネクタのログを取得するには、次のフィルタを使用します。

labels.connector_name="CONNECTOR_NAME"

例:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

すべてのジョブ

すべてのジョブのログを取得するには、次のフィルタを正規表現とともに使用します。

labels.job_name=~"^."

特定のジョブ

特定のジョブのログを取得するには、次のフィルタを使用します。

labels.job_name="JOB_NAME"

例:
labels.job_name="Cases Collector"

すべてのアクション

すべてのアクションのログを取得するには、次のフィルタを正規表現とともに使用します。

labels.action_name=~"^."

具体的な対応

特定のアクションのログを取得するには、次のフィルタを使用します。

labels.action_name="ACTION_NAME"

例:
labels.action_name="Enrich Entities"

失敗したアクション

失敗したアクションのログを取得するには、次のフィルタを組み合わせて使用します。

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

例:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

大文字と小文字を区別した検索

大文字と小文字を区別する検索結果のログを取得するには、次のフィルタを使用します。

SEARCH("FREE_TEXT")

例:
SEARCH("`Find my CASE SensiTive stRing`")

特定のメッセージのテキスト

特定のメッセージのログを取得するには、次のフィルタを使用します。

textPayload=~"FREE_TEXT"

例:
textPayload=~"Invalid JSON payload"

Siemplify Cases Collector ジョブ

ケースコレクタエラーのログを取得するには、次のフィルタを組み合わせて使用します。

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

サーバーエラー

サーバーエラーのログを取得するには、次のフィルタを使用します。

textPayload=~"Internal Server Error"

相関 ID

相関 ID のログを取得するには、次のフィルタを使用します。

labels.correlation_id="CORRELATION_ID"

例:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

タイムスタンプフィルタ

ログを取得するには、RFC 3339 形式または ISO 8601 形式のタイムスタンプを使用します。クエリ式では、RFC 3339 タイムスタンプに Z または ±hh:mm を付けてタイムゾーンを指定できます。すべてのタイムスタンプの精度はナノ秒です。

詳細については、値と変換をご覧ください。

特定のタイムスタンプ（UTC）より新しいログを取得するには、次のフィルタを使用します。

timestamp>="ISO_8601_format"

例:
timestamp>="2023-12-02T21:28:23.045Z"

特定日のログを取得するには、次のフィルタを組み合わせて使用します。

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

例:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。