Use as especificações de filtro de consulta abaixo nas solicitações de API que fornecem recursos de filtragem. A string de filtro precisa ser especificada como uma expressão ou lista de expressões.
Expressões simples
Os filtros precisam ser especificados usando a seguinte gramática:
Uma expressão tem a forma geral:
<expr> |
::= |
<field> <operator> <value> |
<field>tem o status destring. Quando<field>contém um espaço ou dois-pontos precisam ser colocados entre aspas duplas.<operator>podem ser operadores relacionais ou de igualdade e seguem a especificação abaixo:
O operador de igualdade"="é definido apenas para campos de string.
O operador de correspondência de prefixo":"é definido apenas para campos de string.
Os operadores relacionais"<" | ">" | "<=" | ">="são definidos apenas para campos de carimbo de data/hora.
- O
<value>fornecido precisa serstring, mas pode estar no formatoTimestamp, dependendo do<field>. Quando<value>contém um espaço ou dois-pontos, ele precisa ser colocado entre aspas duplas.
Listas de expressões
As expressões podem ser mescladas para formar uma consulta mais complexa. A especificação do BNF é:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
A precedência das operações de mesclagem, da mais alta para a mais baixa, NÃO é, AND e OR.
Exemplos
Veja abaixo alguns exemplos de filtros. Os campos reais compatíveis podem variar entre as diferentes versões da API. Veja as colunas de filtro disponíveis em v1beta1 neste link.
Para consultar todos os alertas criados em 5 de abril de 2018 ou depois dessa data, faça o seguinte:
createTime >= "2018-04-05T00:00:00Z"
Para consultar todos os alertas da fonte "quot;Gmail phishing":
source="Gmail phishing"
Para fazer consultas sobre todos os alertas de uma fonte que começa com "quot;Gmail":
source:"Gmail"
Para consultar todos os alertas que começaram em 2017, faça o seguinte:
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z" Gmail e quot diretamente do