Obtenha registos Python não processados

Este documento explica como usar o ponto final /api/external/v1/logging/python com filtros para obter apenas os dados de registo de que precisa. Fornece uma vista geral dos filtros genéricos e específicos do Google Security Operations, juntamente com exemplos de consultas para exemplos de utilização comuns. Para ver detalhes sobre /api/external/v1/logging/python e outros pontos finais da API, consulte a documentação do Swagger localizada.

Filtre para obter detalhes específicos

Pode usar dois tipos de filtros: filtros específicos do Google SecOps e filtros genéricos.

Filtros específicos do Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Filtros genéricos do Google SecOps

Para mais informações sobre os filtros de registo incorporados, consulte o artigo Crie consultas com a linguagem de consulta do Logging.

Exemplos de filtros comuns

Pode usar os exemplos nesta secção para obter informações específicas.

Versão da integração

Para obter registos de uma versão de integração específica, use os seguintes filtros:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Instância de integração

Para obter registos de uma instância de integração específica, use o seguinte filtro:

labels.integration_instance="INTEGRATION_NAME"

Todos os conetores

Para obter registos de todos os conetores, use o seguinte filtro com a expressão regular:

labels.connector_name=~"^."

Conetor específico

Para obter registos de um conector específico, use o seguinte filtro:

labels.connector_name="CONNECTOR_NAME"

Todos os empregos

Para obter registos de todas as tarefas, use o seguinte filtro com a expressão regular:

labels.job_name=~"^."

Tarefa específica

Para obter registos de uma tarefa específica, use o seguinte filtro:

labels.job_name="JOB_NAME"

Todas as ações

Para obter registos de todas as ações, use o seguinte filtro com a expressão regular:

labels.action_name=~"^."

Ação específica

Para obter registos de uma ação específica, use o seguinte filtro:

labels.action_name="ACTION_NAME"

Ações falhadas

Para obter registos de uma ação com falha, use os seguintes filtros em conjunto:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Pesquisa sensível a maiúsculas e minúsculas

Para obter registos de um resultado de pesquisa sensível a maiúsculas e minúsculas, use o seguinte filtro:

SEARCH("FREE_TEXT")

Texto de mensagem específico

Para obter registos de uma mensagem específica, use o seguinte filtro:

textPayload=~"FREE_TEXT"

Tarefa do coletor de registos do Siemplify

Para obter registos de erros do coletor de registos, use os seguintes filtros em conjunto:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Erros do servidor

Para obter registos de erros do servidor, use o seguinte filtro:

textPayload=~"Internal Server Error"

ID de correlação

Para obter registos de um ID de correlação, use o seguinte filtro:

labels.correlation_id="CORRELATION_ID"

Filtro de data/hora

Para obter registos, use carimbos de data/hora no formato RFC 3339 ou ISO 8601. Nas expressões de consulta, as datas/horas RFC 3339 podem especificar um fuso horário com Z ou ±hh:mm. Todas as datas/horas têm uma precisão de nanosegundos.

Para mais informações, consulte o artigo Valores e conversões.

Para obter registos mais recentes do que uma data/hora específica (UTC), use o seguinte filtro:

timestamp>="ISO_8601_format"

Para obter registos de um dia específico, use os seguintes filtros em conjunto:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"