Query filters

Użyj poniższych specyfikacji filtra zapytań w żądaniach do interfejsu API, które zapewniają możliwości filtrowania. Ciąg filtra musi być określony jako wyrażenie lub listę wyrażeń.

Proste wyrażenia

Filtry należy określać zgodnie z zasadami gramatyki:

Wyrażenie ma postać ogólną:

<expr> ::= <field> <operator> <value>

  • <field> ma status: string. Gdy <field> zawiera spację lub dwukropek, musisz ująć go w cudzysłów.
  • <operator> może być operatorem równości lub relacyjnej i jest zgodny ze specyfikacją poniżej:
    Operator równości "=" jest zdefiniowany tylko w przypadku pól ciągu znaków.
    Operator dopasowania prefiksu ":" jest zdefiniowany tylko w przypadku pól ciągu znaków.
    Operatory relacyjne "<" | ">" | "<=" | ">=" są zdefiniowane tylko w przypadku pól sygnatury czasowej.
  • Podana wartość <value> powinna mieć format string, który może mieć format Timestamp w zależności od <field>. Jeśli <value> zawiera spację lub dwukropek, musisz podać ten adres w cudzysłowie.

Listy wyrażeń

Wyrażenia można złączać w celu utworzenia bardziej złożonego zapytania. Specyfikacja BNF:

<exprList> ::= <expr> |
<exprList> <conjunction> <expr> |
<negation> <expr>
<conjunction> ::= "AND" | "OR" | ""
<negation> ::= "NOT"
Pusty ciąg jako spójnik działa w sposób niejawny I.
Pierwszeństwo operacji łączenia (od najwyższej do najniższej wartości) to NIE, ORAZ bądź LUB.

Przykłady

Poniżej podajemy kilka przykładowych filtrów. Pamiętaj, że rzeczywiste obsługiwane pola mogą się różnić w zależności od wersji interfejsu API. Kolumny filtrów dostępne w v1beta1 znajdziesz tutaj.

Aby wysłać zapytanie o wszystkie alerty utworzone 5 kwietnia 2018 roku lub później:
createTime >= "2018-04-05T00:00:00Z"

Aby wysłać zapytanie o wszystkie alerty ze źródła „phishingu w Gmailu”:
source="Gmail phishing"

Aby zapytać o wszystkie alerty ze źródła, którego nazwa zaczyna się od „Gmail”:
source:"Gmail"

Aby wysłać zapytanie o wszystkie alerty, które rozpoczęły się w 2017 roku:
startTime >= "2017-01-01T00:00:00Z" AND startTime < "2018-01-01T00:00:00Z"

Aby wysłać zapytanie o wszystkie alerty o phishingu w Gmailu zgłoszone przez użytkowników „type="User reported phishing" source="Gmail phishing"”: