Użyj poniższych specyfikacji filtra zapytań w żądaniach do interfejsu API, które zapewniają możliwości filtrowania. Ciąg filtra musi być określony jako wyrażenie lub listę wyrażeń.
Proste wyrażenia
Filtry należy określać zgodnie z zasadami gramatyki:
Wyrażenie ma postać ogólną:
<expr> |
::= |
<field> <operator> <value> |
<field>
ma status:string
. Gdy<field>
zawiera spację lub dwukropek, musisz ująć go w cudzysłów.<operator>
może być operatorem równości lub relacyjnej i jest zgodny ze specyfikacją poniżej:
Operator równości"="
jest zdefiniowany tylko w przypadku pól ciągu znaków.
Operator dopasowania prefiksu":"
jest zdefiniowany tylko w przypadku pól ciągu znaków.
Operatory relacyjne"<" | ">" | "<=" | ">="
są zdefiniowane tylko w przypadku pól sygnatury czasowej.
- Podana wartość
<value>
powinna mieć formatstring
, który może mieć formatTimestamp
w zależności od<field>
. Jeśli<value>
zawiera spację lub dwukropek, musisz podać ten adres w cudzysłowie.
Listy wyrażeń
Wyrażenia można złączać w celu utworzenia bardziej złożonego zapytania. Specyfikacja BNF:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
Pierwszeństwo operacji łączenia (od najwyższej do najniższej wartości) to NIE, ORAZ bądź LUB.
Przykłady
Poniżej podajemy kilka przykładowych filtrów. Pamiętaj, że rzeczywiste obsługiwane pola mogą się różnić w zależności od wersji interfejsu API. Kolumny filtrów dostępne w v1beta1
znajdziesz tutaj.
Aby wysłać zapytanie o wszystkie alerty utworzone 5 kwietnia 2018 roku lub później:
createTime >= "2018-04-05T00:00:00Z"
Aby wysłać zapytanie o wszystkie alerty ze źródła „phishingu w Gmailu”:
source="Gmail phishing"
Aby zapytać o wszystkie alerty ze źródła, którego nazwa zaczyna się od „Gmail”:
source:"Gmail"
Aby wysłać zapytanie o wszystkie alerty, które rozpoczęły się w 2017 roku:
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"
Aby wysłać zapytanie o wszystkie alerty o phishingu w Gmailu zgłoszone przez użytkowników „type="User reported phishing" source="Gmail phishing"
”: