Esta página foi traduzida pela API Cloud Translation.

Obtenha registos Python não processados

Suportado em:

Google secops SOAR

Este documento explica como usar o ponto final /api/external/v1/logging/python com filtros para obter apenas os dados de registo de que precisa. Fornece uma vista geral dos filtros genéricos e específicos do Google Security Operations, juntamente com exemplos de consultas para exemplos de utilização comuns. Para ver detalhes sobre /api/external/v1/logging/python e outros pontos finais da API, consulte a documentação do Swagger localizada.

Filtre para obter detalhes específicos

Pode usar dois tipos de filtros: filtros específicos do Google SecOps e filtros genéricos.

Filtros específicos do Google SecOps

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Filtros genéricos do Google SecOps

Para mais informações sobre os filtros de registo incorporados, consulte o artigo Crie consultas com a linguagem de consulta do Logging.

Exemplos de filtros comuns

Pode usar os exemplos nesta secção para obter informações específicas.

Versão da integração

Para obter registos de uma versão de integração específica, use os seguintes filtros:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Por exemplo:
labels.integration_name="Exchange" AND labels.integration_version="19"

Instância de integração

Para obter registos de uma instância de integração específica, use o seguinte filtro:

labels.integration_instance="INTEGRATION_NAME"

Por exemplo:
labels.integration_instance="GoogleAlertCenter_1"

Todos os conetores

Para obter registos de todos os conetores, use o seguinte filtro com a expressão regular:

labels.connector_name=~"^."

Conetor específico

Para obter registos de um conector específico, use o seguinte filtro:

labels.connector_name="CONNECTOR_NAME"

Por exemplo:
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

Todos os empregos

Para obter registos de todas as tarefas, use o seguinte filtro com a expressão regular:

labels.job_name=~"^."

Tarefa específica

Para obter registos de uma tarefa específica, use o seguinte filtro:

labels.job_name="JOB_NAME"

Por exemplo:
labels.job_name="Cases Collector"

Todas as ações

Para obter registos de todas as ações, use o seguinte filtro com a expressão regular:

labels.action_name=~"^."

Ação específica

Para obter registos de uma ação específica, use o seguinte filtro:

labels.action_name="ACTION_NAME"

Por exemplo:
labels.action_name="Enrich Entities"

Ações falhadas

Para obter registos de uma ação com falha, use os seguintes filtros em conjunto:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Por exemplo:
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

Pesquisar

Use o operador SEARCH para pesquisas de texto livre e para filtrar com base em etiquetas específicas. Permite-lhe pesquisar palavras-chave, expressões ou valores em vários campos das entradas de registo, incluindo etiquetas. Pesquisa em vários campos na entrada do registo, o que é útil para encontrar registos que contenham texto específico em qualquer um dos campos. Pode usar o operador para pesquisas sensíveis ou insensíveis a maiúsculas e minúsculas.

Para fazer uma pesquisa, use o seguinte filtro:

SEARCH("FREE_TEXT")

Por exemplo:
SEARCH("Result Value: False") pesquisa a expressão exata Result Value: False em qualquer campo da entrada do registo.

Por exemplo:
SEARCH("Find my CASE SensiTive stRing") faz uma pesquisa sensível a maiúsculas e minúsculas da expressão Find my CASE SensiTive stRing.

Texto da mensagem específico

Use o filtro textPayload para pesquisar no campo textPayload da entrada do registo, que é o corpo principal da mensagem de registo. É útil para filtrar com base no conteúdo de texto real da mensagem de registo.

Para obter registos de uma mensagem específica, use o seguinte filtro:

textPayload=~"FREE_TEXT"

Por exemplo:
textPayload=~"Invalid JSON payload" procura entradas de registo em que o payload contém a expressão "Invalid JSON payload" (Payload JSON inválido).

Tarefa do coletor de registos do Siemplify

Para obter registos de erros do coletor de registos, use os seguintes filtros em conjunto:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Erros do servidor

Para obter registos de erros do servidor, use o seguinte filtro:

textPayload=~"Internal Server Error"

ID de correlação

Para obter registos de um ID de correlação, use o seguinte filtro:

labels.correlation_id="CORRELATION_ID"

Por exemplo:
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

Filtro de data/hora

Para obter registos, use carimbos de data/hora no formato RFC 3339 ou ISO 8601. Nas expressões de consulta, as datas/horas RFC 3339 podem especificar um fuso horário com Z ou ±hh:mm. Todas as datas/horas têm precisão de nanossegundos.

Para mais informações, consulte o artigo Valores e conversões.

Para obter registos mais recentes do que uma data/hora específica (UTC), use o seguinte filtro:

timestamp>="ISO_8601_format"

Por exemplo:
timestamp>="2023-12-02T21:28:23.045Z"

Para obter registos de um dia específico, use os seguintes filtros em conjunto:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

Por exemplo:
timestamp>="2023-12-01" AND timestamp<"2023-12-03"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.