此页面由 Cloud Translation API 翻译。

检索原始 Python 日志

支持的平台：

Google SecOps SOAR

本文档介绍了如何使用带有过滤条件的 /api/external/v1/logging/python 端点来仅检索所需的日志数据。本文档概述了 Google Security Operations 特有的过滤条件和通用过滤条件，并提供了常见使用场景的查询示例。如需详细了解 /api/external/v1/logging/python 和其他 API 端点，请参阅本地化的 Swagger 文档。

过滤以检索特定详细信息

您可以使用两种类型的过滤条件：Google SecOps 特有的过滤条件和通用过滤条件。

Google SecOps 专用过滤条件

labels.integration_name
labels.integration_instance
labels.integration_version
labels.connector_name
labels.connector_instance
labels.action_name
labels.job_name
labels.correlation_id

Google SecOps 通用过滤条件

如需详细了解内置日志过滤条件，请参阅使用 Logging 查询语言构建查询。

常见过滤条件示例

您可以使用本部分中的示例来检索特定信息。

集成版本

如需检索特定集成版本的日志，请使用以下过滤条件：

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

例如：
labels.integration_name="Exchange" AND labels.integration_version="19"

集成实例

如需检索特定集成实例的日志，请使用以下过滤条件：

labels.integration_instance="INTEGRATION_NAME"

例如：
labels.integration_instance="GoogleAlertCenter_1"

所有连接器

如需检索所有连接器的日志，请使用以下包含正则表达式的过滤条件：

labels.connector_name=~"^."

特定连接器

如需检索特定连接器的日志，请使用以下过滤条件：

labels.connector_name="CONNECTOR_NAME"

例如：
labels.connector_name="Exchange Mail Connector v2 with Oauth Authentication"

所有作业

如需检索所有作业的日志，请使用以下包含正则表达式的过滤条件：

labels.job_name=~"^."

特定作业

如需检索特定作业的日志，请使用以下过滤条件：

labels.job_name="JOB_NAME"

例如：
labels.job_name="Cases Collector"

所有操作

如需检索所有操作的日志，请使用以下包含正则表达式的过滤条件：

labels.action_name=~"^."

具体操作

如需检索特定操作的日志，请使用以下过滤条件：

labels.action_name="ACTION_NAME"

例如：
labels.action_name="Enrich Entities"

失败的操作

如需检索失败操作的日志，请同时使用以下过滤条件：

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

例如：
labels.action_name="Enrich Entities" AND SEARCH("Result Value: False")

搜索

使用 SEARCH 运算符进行自由文本搜索，并根据特定标签进行过滤。借助此功能，您可以搜索日志条目（包括标签）的各个字段中的关键字、短语或值。它会在日志条目中的多个字段中进行搜索，因此非常适合查找在任何字段中包含特定文本的记录。您可以使用该运算符进行区分大小写或不区分大小写的搜索。

如需执行搜索，请使用以下过滤条件：

SEARCH("FREE_TEXT")

例如：
SEARCH("Result Value: False") 会在日志条目的任何字段中搜索完全匹配的词组 Result Value: False。

例如：
SEARCH("Find my CASE SensiTive stRing") 会对短语 Find my CASE SensiTive stRing 执行区分大小写的搜索。

特定消息文本

使用 textPayload 过滤条件在日志条目的 textPayload 字段（即日志消息的正文）中进行搜索。此方法可用于根据日志消息的实际文本内容进行过滤。

如需检索特定消息的日志，请使用以下过滤条件：

textPayload=~"FREE_TEXT"

例如：
textPayload=~"Invalid JSON payload" 会搜索载荷中包含“Invalid JSON payload”短语的日志条目。

Siemplify Cases Collector 作业

如需检索与支持请求收集器错误相关的日志，请同时使用以下过滤条件：

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

服务器错误

如需检索服务器错误的日志，请使用以下过滤条件：

textPayload=~"Internal Server Error"

关联 ID

如需检索特定关联 ID 的日志，请使用以下过滤条件：

labels.correlation_id="CORRELATION_ID"

例如：
labels.correlation_id="e4a0b1f4afeb43e5ab89dafb5c815fa7"

时间戳过滤条件

如需检索日志，请使用 RFC 3339 或 ISO 8601 格式的时间戳。在查询表达式中，RFC 3339 时间戳可以使用 Z 或 ±hh:mm 指定时区。所有时间戳都精确到纳秒。

如需了解详情，请参阅价值和转化。

如需检索晚于特定时间戳 (UTC) 的日志，请使用以下过滤条件：

timestamp>="ISO_8601_format"

例如：
timestamp>="2023-12-02T21:28:23.045Z"

如需检索特定日期的日志，请同时使用以下过滤条件：

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"

例如：
timestamp>="2023-12-01" AND timestamp<"2023-12-03"