擷取原始 Python 記錄

本文說明如何搭配篩選器使用 /api/external/v1/logging/python 端點，只擷取所需的記錄資料。這份指南會概略說明 Google Security Operations 專用和一般篩選器，並提供常見用途的查詢範例。 如要瞭解 /api/external/v1/logging/python 和其他 API 端點的詳細資料，請參閱本地化的 Swagger 說明文件。

篩選以擷取特定詳細資料

您可以使用兩種篩選器：Google SecOps 專用篩選器和一般篩選器。

Google SecOps 專用篩選條件

• labels.integration_name
• labels.integration_instance
• labels.integration_version
• labels.connector_name
• labels.connector_instance
• labels.action_name
• labels.job_name
• labels.correlation_id

Google SecOps 一般篩選器

如要進一步瞭解內建記錄篩選器，請參閱「使用 Logging 查詢語言建構查詢」。

常見的篩選器範例

您可以參考本節的範例，擷取特定資訊。

整合版本

如要擷取特定整合版本的記錄，請使用下列篩選器：

labels.integration_name="INTEGRATION_NAME" AND
labels.integration_version="INTEGRATION_NUMBER"

整合執行個體

如要擷取特定整合執行個體的記錄，請使用下列篩選器：

labels.integration_instance="INTEGRATION_NAME"

所有連接器

如要擷取所有連結器的記錄，請使用下列篩選器和規則運算式：

labels.connector_name=~"^."

特定連接器

如要擷取特定連結器的記錄，請使用下列篩選器：

labels.connector_name="CONNECTOR_NAME"

所有工作

如要擷取所有工作的記錄，請使用下列篩選器和規則運算式：

labels.job_name=~"^."

特定工作

如要擷取特定工作的記錄，請使用下列篩選器：

labels.job_name="JOB_NAME"

所有動作

如要擷取所有動作的記錄，請使用下列篩選器和規則運算式：

labels.action_name=~"^."

特定動作

如要擷取特定動作的記錄，請使用下列篩選器：

labels.action_name="ACTION_NAME"

失敗的動作數

如要擷取失敗動作的記錄，請一併使用下列篩選條件：

labels.action_name="ACTION_NAME" AND SEARCH("Result Value: False")

區分大小寫的搜尋

如要擷取區分大小寫的搜尋結果記錄，請使用下列篩選器：

SEARCH("FREE_TEXT")

特定訊息文字

如要擷取特定訊息的記錄，請使用下列篩選器：

textPayload=~"FREE_TEXT"

Siemplify Cases Collector 工作

如要擷取案件收集器錯誤的記錄，請一併使用下列篩選器：

textPayload=~(\\".\*----Cases Collector DB started---\*\\") AND
severity>="Error"

伺服器錯誤

如要擷取伺服器錯誤的記錄，請使用下列篩選器：

textPayload=~"Internal Server Error"

關聯性 ID

如要擷取關聯 ID 的記錄，請使用下列篩選器：

labels.correlation_id="CORRELATION_ID"

時間戳記篩選器

如要擷取記錄，請使用 RFC 3339 或 ISO 8601 格式的時間戳記。在查詢運算式中，RFC 3339 時間戳記可使用 Z 或 ±hh:mm 指定時區。所有時間戳記的精確度都可達奈秒。

詳情請參閱「 價值和轉換」一文。

如要擷取晚於特定時間戳記 (世界標準時間) 的記錄，請使用下列篩選器：

timestamp>="ISO_8601_format"

如要擷取特定日期的記錄，請一併使用下列篩選器：

timestamp>="YYYY-MM-DD" AND
timestamp<"YYYY-MM-DD"