检索原始 Python 日志

本文档介绍了如何将 /api/external/v1/logging/python 端点与过滤条件搭配使用，以便仅检索所需的日志数据。本文档简要介绍了 Google Security Operations 特有的过滤条件和通用过滤条件，以及常见使用场景的查询示例。 如需详细了解 /api/external/v1/logging/python 和其他 API 端点，请参阅本地化的 Swagger 文档。

过滤以检索特定详细信息

您可以使用两种类型的过滤条件：Google SecOps 专用过滤条件和通用过滤条件。

Google SecOps 专用过滤条件

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Google SecOps 通用过滤条件

如需详细了解内置日志过滤条件，请参阅使用 Logging 查询语言构建查询。

常见过滤条件示例

您可以使用本部分中的示例来检索特定信息。

集成版本

如需检索特定集成版本的日志，请使用以下过滤条件：

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

集成实例

如需检索特定集成实例的日志，请使用以下过滤条件：

labels.integration_instance="INTEGRATION_NAME"

所有连接器

如需检索所有连接器的日志，请使用以下过滤条件和正则表达式：

labels.connector_name=~"^."

特定连接器

如需检索特定连接器的日志，请使用以下过滤条件：

labels.connector_name="CONNECTOR_NAME"

所有作业

如需检索所有作业的日志，请使用以下包含正则表达式的过滤条件：

labels.job_name=~"^."

特定作业

如需检索特定作业的日志，请使用以下过滤条件：

labels.job_name="JOB_NAME"

所有操作

如需检索所有操作的日志，请使用以下包含正则表达式的过滤条件：

labels.action_name=~"^."

具体操作

如需检索特定操作的日志，请使用以下过滤条件：

labels.action_name="ACTION_NAME"

失败的操作

如需检索失败操作的日志，请同时使用以下过滤条件：

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

区分大小写的搜索

如需检索区分大小写的搜索结果的日志，请使用以下过滤条件：

SEARCH("FREE_TEXT")

特定消息文本

如需检索特定消息的日志，请使用以下过滤条件：

textPayload=~"FREE_TEXT"

Siemplify Cases Collector 作业

如需检索与支持请求收集器错误相关的日志，请同时使用以下过滤条件：

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

服务器错误

如需检索服务器错误的日志，请使用以下过滤条件：

textPayload=~"Internal Server Error"

关联 ID

如需检索特定关联 ID 的日志，请使用以下过滤条件：

labels.correlation_id="CORRELATION_ID"

时间戳过滤条件

如需检索日志，请使用 RFC 3339 或 ISO 8601 格式的时间戳。在查询表达式中，RFC 3339 时间戳可以使用 Z 或 ±hh:mm 指定时区。所有时间戳都精确到纳秒。

如需了解详情，请参阅 价值和转化。

如需检索晚于特定时间戳 (UTC) 的日志，请使用以下过滤条件：

timestamp>="ISO_8601_format"

如需检索特定日期的日志，请同时使用以下过滤条件：

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"