이 페이지는 Cloud Translation API를 통해 번역되었습니다.

원시 Python 로그 가져오기

다음에서 지원:

Google secops SOAR

이 문서에서는 필터와 함께 /api/external/v1/logging/python 엔드포인트를 사용하여 필요한 로그 데이터만 가져오는 방법을 설명합니다. Google Security Operations 전용 필터와 일반 필터에 대한 개요와 일반적인 사용 사례의 예시 쿼리를 제공합니다. /api/external/v1/logging/python 및 기타 API 엔드포인트에 대한 자세한 내용은 현지화된 Swagger 문서를 참고하세요.

필터링하여 특정 세부정보 가져오기

Google SecOps 전용 필터와 일반 필터의 두 가지 유형의 필터를 사용할 수 있습니다.

Google SecOps 전용 필터

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Google SecOps 일반 필터

기본 제공 로그 필터에 대한 자세한 내용은 Logging 쿼리 언어를 사용하여 쿼리 빌드를 참고하세요.

일반적인 필터의 예

이 섹션의 예시를 사용하여 특정 정보를 검색할 수 있습니다.

통합 버전

특정 통합 버전의 로그를 가져오려면 다음 필터를 사용하세요.

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

예를 들면 다음과 같습니다.
labels.integration_name="Exchange" AND labels.integration_version="19"

통합 인스턴스

특정 통합 인스턴스의 로그를 검색하려면 다음 필터를 사용하세요.

labels.integration_instance="INTEGRATION_NAME"

예를 들면 다음과 같습니다.
labels.integration_instance="GoogleAlertCenter_1"

모든 커넥터

모든 커넥터의 로그를 가져오려면 정규 표현식과 함께 다음 필터를 사용하세요.

labels.connector_name=~"^."

특정 커넥터

특정 커넥터의 로그를 가져오려면 다음 필터를 사용하세요.

labels.connector_name="CONNECTOR_NAME"

예:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

모든 작업

모든 작업의 로그를 가져오려면 정규 표현식과 함께 다음 필터를 사용하세요.

labels.job_name=~"^."

특정 작업

특정 작업의 로그를 가져오려면 다음 필터를 사용하세요.

labels.job_name="JOB_NAME"

예:
labels.job_name="Cases Collector"

모든 작업

모든 작업의 로그를 가져오려면 정규 표현식과 함께 다음 필터를 사용하세요.

labels.action_name=~"^."

특정 작업

특정 작업의 로그를 가져오려면 다음 필터를 사용하세요.

labels.action_name="ACTION_NAME"

예:
labels.action_name="Enrich Entities"

실패한 작업

실패한 작업의 로그를 가져오려면 다음 필터를 함께 사용하세요.

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

예:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

대소문자를 구분하는 검색

대소문자를 구분하는 검색 결과의 로그를 검색하려면 다음 필터를 사용하세요.

SEARCH("FREE_TEXT")

예:
SEARCH("`Find my CASE SensiTive stRing`")

특정 메시지 텍스트

특정 메시지의 로그를 가져오려면 다음 필터를 사용하세요.

textPayload=~"FREE_TEXT"

예:
textPayload=~"Invalid JSON payload"

Siemplify Cases Collector 작업

케이스 수집기 오류의 로그를 가져오려면 다음 필터를 함께 사용하세요.

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

서버 오류

서버 오류의 로그를 가져오려면 다음 필터를 사용하세요.

textPayload=~"Internal Server Error"

상관관계 ID

상관관계 ID의 로그를 가져오려면 다음 필터를 사용하세요.

labels.correlation_id="CORRELATION_ID"

예:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

타임스탬프 필터

로그를 가져오려면 RFC 3339 또는 ISO 8601 형식의 타임스탬프를 사용하세요. 쿼리 표현식에서 RFC 3339 타임스탬프는 Z 또는 ±hh:mm으로 시간대를 지정할 수 있습니다. 모든 타임스탬프의 정확도는 나노초입니다.

자세한 내용은 값 및 변환을 참고하세요.

특정 타임스탬프 (UTC)보다 최신 로그를 가져오려면 다음 필터를 사용하세요.

timestamp>="ISO_8601_format"

예:
timestamp>="2023-12-02T21:28:23.045Z"

특정 날짜의 로그를 가져오려면 다음 필터를 함께 사용하세요.

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

예:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.