Query filters

Utilizza le specifiche di filtro delle query riportate di seguito nelle richieste API che offrono funzionalità di filtro. La stringa del filtro deve essere specificata come espressione o elenco di espressioni.

Espressioni semplici

I filtri devono essere specificati utilizzando la seguente grammatica:

Un'espressione ha la forma generica:

<expr> ::= <field> <operator> <value>

  • <field> è un string. Se <field> contiene uno spazio o i due punti devono essere racchiusi tra virgolette doppie.
  • <operator> potrebbe essere operatori di uguaglianza o relazionali e segue le specifiche come riportato di seguito:
    L'operatore di uguaglianza "=" viene definito solo per i campi stringa.
    L'operatore di corrispondenza del prefisso ":" è definito solo per i campi stringa.
    Gli operatori relazionali "<" | ">" | "<=" | ">=" sono definiti solo per i campi timestamp.
  • Il valore <value> fornito deve essere string e potrebbe essere in formato Timestamp a seconda di <field>. Quando <value> contiene uno spazio o due punti, deve essere racchiuso tra virgolette doppie.

Elenchi di espressioni

Le espressioni possono essere unite per formare una query più complessa. La specifica BNF è:

<exprList> ::= <expr> |
<exprList> <conjunction> <expr> |
<negation> <expr>
<conjunction> ::= "AND" | "OR" | ""
<negation> ::= "NOT"
L'utilizzo di una stringa vuota come congiunzione agisce come un operatore AND implicito.
La precedenza delle operazioni di unione, dalla più alta alla più bassa, è NOT, AND, OR.

Esempi

Di seguito sono riportati alcuni filtri di esempio. Tieni presente che i campi effettivamente supportati possono variare a seconda delle versioni dell'API. Per le colonne di filtro disponibili in v1beta1, vedi qui.

Per eseguire una query per tutti gli avvisi creati a partire dal 5 aprile 2018:
createTime >= "2018-04-05T00:00:00Z"

Per eseguire query su tutti gli avvisi della fonte "Phishing Gmail":
source="Gmail phishing"

Per eseguire una query per tutti gli avvisi provenienti da una fonte che inizia con "Gmail":
source:"Gmail"

Per eseguire una query per tutti gli avvisi iniziati nel 2017:
startTime >= "2017-01-01T00:00:00Z" AND startTime < "2018-01-01T00:00:00Z"

Per eseguire una query per tutti gli avvisi di phishing segnalati dagli utenti:

type="User reported phishing" source="Gmail phishing"