이 페이지는 Cloud Translation API를 통해 번역되었습니다.

원시 Python 로그 검색

다음에서 지원:

Google secops SOAR

이 문서에서는 필터와 함께 /api/external/v1/logging/python 엔드포인트를 사용하여 필요한 로그 데이터만 검색하는 방법을 설명합니다. Google Security Operations 전용 필터와 일반 필터에 대한 개요와 일반적인 사용 사례의 예시 쿼리를 제공합니다. /api/external/v1/logging/python 및 기타 API 엔드포인트에 대한 자세한 내용은 현지화된 Swagger 문서를 참고하세요.

필터링하여 특정 세부정보 가져오기

Google SecOps 전용 필터와 일반 필터의 두 가지 유형의 필터를 사용할 수 있습니다.

Google SecOps 전용 필터

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Google SecOps 일반 필터

기본 제공 로그 필터에 대한 자세한 내용은 Logging 쿼리 언어를 사용하여 쿼리 빌드를 참고하세요.

일반적인 필터의 예

이 섹션의 예시를 사용하여 특정 정보를 검색할 수 있습니다.

통합 버전

특정 통합 버전의 로그를 가져오려면 다음 필터를 사용하세요.

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

예를 들면 다음과 같습니다.
labels.integration_name="Exchange" AND labels.integration_version="19"

통합 인스턴스

특정 통합 인스턴스의 로그를 가져오려면 다음 필터를 사용하세요.

labels.integration_instance="INTEGRATION_NAME"

예를 들면 다음과 같습니다.
labels.integration_instance="GoogleAlertCenter_1"

모든 커넥터

모든 커넥터의 로그를 가져오려면 정규 표현식과 함께 다음 필터를 사용하세요.

labels.connector_name=~"^."

특정 커넥터

특정 커넥터의 로그를 가져오려면 다음 필터를 사용하세요.

labels.connector_name="CONNECTOR_NAME"

예:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

모든 작업

모든 작업의 로그를 가져오려면 정규 표현식과 함께 다음 필터를 사용하세요.

labels.job_name=~"^."

특정 작업

특정 작업의 로그를 가져오려면 다음 필터를 사용하세요.

labels.job_name="JOB_NAME"

예:
labels.job_name="Cases Collector"

모든 작업

모든 작업의 로그를 가져오려면 정규 표현식과 함께 다음 필터를 사용하세요.

labels.action_name=~"^."

특정 작업

특정 작업의 로그를 가져오려면 다음 필터를 사용하세요.

labels.action_name="ACTION_NAME"

예:
labels.action_name="Enrich Entities"

실패한 작업

실패한 작업의 로그를 가져오려면 다음 필터를 함께 사용하세요.

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

예:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

검색

자유 형식 텍스트 검색 및 특정 라벨을 기반으로 필터링하려면 SEARCH 연산자를 사용합니다. 라벨을 비롯한 로그 항목의 다양한 필드 내에서 키워드, 구문 또는 값을 검색할 수 있습니다. 로그 항목 내의 여러 필드를 검색하므로 필드에 특정 텍스트가 포함된 레코드를 찾는 데 유용합니다. 대소문자 구분 또는 대소문자 비구분 검색에 연산자를 사용할 수 있습니다.

검색을 실행하려면 다음 필터를 사용하세요.

SEARCH("FREE_TEXT")

예를 들어
SEARCH("Result Value: False")는 로그 항목의 모든 필드에서 Result Value: False라는 정확한 구문을 검색합니다.

예를 들어
SEARCH("Find my CASE SensiTive stRing")는 Find my CASE SensiTive stRing 구문에 대해 대소문자를 구분하는 검색을 실행합니다.

특정 메시지 텍스트

textPayload 필터를 사용하여 로그 메시지의 기본 본문인 로그 항목의 textPayload 필드 내에서 검색합니다. 로그 메시지의 실제 텍스트 콘텐츠를 기반으로 필터링하는 데 유용합니다.

특정 메시지의 로그를 가져오려면 다음 필터를 사용하세요.

textPayload=~"FREE_TEXT"

예:
textPayload=~"Invalid JSON payload"은 페이로드에 'Invalid JSON payload'라는 문구가 포함된 로그 항목을 검색합니다.

Siemplify Cases Collector 작업

케이스 수집기 오류의 로그를 가져오려면 다음 필터를 함께 사용하세요.

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

서버 오류

서버 오류의 로그를 가져오려면 다음 필터를 사용하세요.

textPayload=~"Internal Server Error"

상관관계 ID

상관관계 ID의 로그를 가져오려면 다음 필터를 사용하세요.

labels.correlation_id="CORRELATION_ID"

예:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

타임스탬프 필터

로그를 가져오려면 RFC 3339 또는 ISO 8601 형식의 타임스탬프를 사용하세요. 쿼리 표현식에서 RFC 3339 타임스탬프는 Z 또는 ±hh:mm으로 시간대를 지정할 수 있습니다. 모든 타임스탬프의 정확도는 나노초입니다.

자세한 내용은 가치 및 전환을 참고하세요.

특정 타임스탬프 (UTC)보다 최신 로그를 가져오려면 다음 필터를 사용하세요.

timestamp>="ISO_8601_format"

예:
timestamp>="2023-12-02T21:28:23.045Z"

특정 날짜의 로그를 가져오려면 다음 필터를 함께 사용하세요.

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

예:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.