Recuperar registros brutos do Python

Este documento explica como usar o endpoint /api/external/v1/logging/python com filtros para recuperar apenas os dados de registro necessários. Ele oferece uma visão geral dos filtros genéricos e específicos do Google Security Operations, além de exemplos de consultas para casos de uso comuns. Para detalhes sobre /api/external/v1/logging/python e outros endpoints de API, consulte a documentação do Swagger localizada.

Filtrar para recuperar detalhes específicos

Você pode usar dois tipos de filtros: específicos do Google SecOps e genéricos.

Filtros específicos do Google SecOps

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Filtros genéricos do Google SecOps

Para mais informações sobre filtros de registros integrados, consulte Criar consultas usando a linguagem de consulta do Logging.

Exemplos de filtros comuns

Use os exemplos desta seção para recuperar informações específicas.

Versão da integração

Para recuperar registros de uma versão específica da integração, use os seguintes filtros:

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

Instância de integração

Para recuperar registros de uma instância de integração específica, use este filtro:

labels.integration_instance="INTEGRATION_NAME"

Todos os conectores

Para recuperar registros de todos os conectores, use o seguinte filtro com a expressão regular:

labels.connector_name=~"^."

Conector específico

Para recuperar registros de um conector específico, use o seguinte filtro:

labels.connector_name="CONNECTOR_NAME"

Todos os jobs

Para recuperar registros de todos os jobs, use o seguinte filtro com a expressão regular:

labels.job_name=~"^."

Trabalho específico

Para recuperar registros de um job específico, use o seguinte filtro:

labels.job_name="JOB_NAME"

Todas as ações

Para recuperar registros de todas as ações, use o seguinte filtro com a expressão regular:

labels.action_name=~"^."

Ação específica

Para recuperar registros de uma ação específica, use o seguinte filtro:

labels.action_name="ACTION_NAME"

Ações com falha

Para recuperar registros de uma ação com falha, use os seguintes filtros juntos:

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

Pesquisa com diferenciação entre maiúsculas e minúsculas

Para recuperar registros de um resultado de pesquisa sensível a maiúsculas e minúsculas, use o seguinte filtro:

SEARCH("FREE_TEXT")

Texto da mensagem específica

Para recuperar registros de uma mensagem específica, use o seguinte filtro:

textPayload=~"FREE_TEXT"

Job do coletor de casos da Siemplify

Para recuperar registros de erros do coletor de casos, use estes filtros juntos:

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

Erros do servidor

Para recuperar registros de erros do servidor, use o seguinte filtro:

textPayload=~"Internal Server Error"

ID de correlação

Para recuperar registros de um ID de correlação, use o seguinte filtro:

labels.correlation_id="CORRELATION_ID"

Filtro de carimbo de data/hora

Para recuperar registros, use carimbos de data/hora no formato RFC 3339 ou ISO 8601. Em expressões de consulta, os carimbos de data/hora RFC 3339 podem especificar um fuso horário com Z ou ±hh:mm. Todos os carimbos de data/hora têm precisão de nanossegundos.

Para mais informações, consulte Valores e conversões.

Para recuperar registros mais recentes que um carimbo de data/hora específico (UTC), use o filtro a seguir:

timestamp>="ISO_8601_format"

Para recuperar registros de um dia específico, use os seguintes filtros juntos:

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"