Query filters

Usa las siguientes especificaciones del filtro de consultas en las solicitudes a la API que proporcionan capacidades de filtrado. La cadena de filtro debe especificarse como una expresión o una lista de expresiones.

Expresiones simples

Los filtros deben especificarse con la siguiente gramática:

Una expresión tiene la siguiente forma general:

<expr> ::= <field> <operator> <value>

  • <field> es string. Cuando <field> contenga un espacio o los dos puntos, deben encerrarse entre comillas dobles.
  • <operator> puede ser operadores de igualdad o relacionales, y sigue la especificación a continuación:
    El operador de igualdad "=" se define solo para campos de cadena.
    El operador de coincidencia de prefijo ":" se define solo para los campos de cadena.
    Los operadores relacionales "<" | ">" | "<=" | ">=" se definen solo para los campos de marca de tiempo.
  • El <value> proporcionado debe ser string, que puede estar en formato Timestamp según el <field>. Cuando <value> contiene un espacio o dos puntos, debe encerrarse entre comillas dobles.

Listas de expresiones

Las expresiones se pueden unir para formar una consulta más compleja. La especificación de BNF es la siguiente:

<exprList> ::= <expr> |
<exprList> <conjunction> <expr> |
<negation> <expr>
<conjunction> ::= "AND" | "OR" | ""
<negation> ::= "NOT"
Usar la cadena vacía como conjunción actúa como una AND implícita.
La prioridad de las operaciones de unión, de mayor a menor, es NOT, AND, OR.

Ejemplos

A continuación, se muestran algunos ejemplos de filtros. Ten en cuenta que los campos reales admitidos pueden variar entre las diferentes versiones de la API. Para conocer las columnas de filtros disponibles en v1beta1, consulta aquí.

Para consultar todas las alertas creadas a partir del 5 de abril de 2018, haz lo siguiente:
createTime >= "2018-04-05T00:00:00Z"

Haz lo siguiente para consultar todas las alertas de la fuente "Phishing de Gmail":
source="Gmail phishing"

Para consultar todas las alertas de una fuente que comienza con "Gmail":
source:"Gmail"

Para consultar todas las alertas que comenzaron en 2017, haz lo siguiente:
startTime >= "2017-01-01T00:00:00Z" AND startTime < "2018-01-01T00:00:00Z"

Para consultar todas las alertas de phishing de usuarios de la fuente:
type="User reported phishing" source="Gmail phishing"