Query filters

Используйте приведенные ниже спецификации фильтра запросов в запросах API, предоставляющих возможности фильтрации. Строка фильтра должна быть указана как выражение или список выражений.

Простые выражения

Фильтры должны быть указаны с использованием следующей грамматики:

Выражение имеет общий вид:

<expr> ::= <field> <operator> <value>
  • <field> — это string . Когда <field> содержит пробел или двоеточие, оно должно быть заключено в двойные кавычки.
  • <operator> может быть оператором равенства или оператором отношения и соответствует спецификации, как показано ниже:
    Оператор равенства "=" определен только для строковых полей.
    Оператор сопоставления префикса ":" определен только для строковых полей.
    Операторы отношения "<" | ">" | "<=" | ">=" определены только для полей меток времени.
  • Предоставленное <value> должно быть string , которая может быть в формате Timestamp в зависимости от <field> . Если <value> содержит пробел или двоеточие, оно должно быть заключено в двойные кавычки.

Списки выражений

Выражения могут быть объединены для формирования более сложного запроса. Спецификация BNF:

<exprList> ::= <expr> |
<exprList> <conjunction> <expr> |
<negation> <expr>
<conjunction> ::= "AND" | "OR" | ""
<negation> ::= "NOT"
Использование пустой строки в качестве союза действует как неявное И.
Приоритет операций соединения, от высшего к низшему, НЕ, И, ИЛИ.

Примеры

Ниже приведены некоторые примеры фильтров. Обратите внимание, что фактические поддерживаемые поля могут различаться в разных версиях API. Столбцы фильтров, доступные в v1beta1 , см. здесь .

Чтобы запросить все оповещения, созданные 5 апреля 2018 г. или позже, выполните следующие действия.
createTime >= "2018-04-05T00:00:00Z"

Чтобы запросить все оповещения из источника "Фишинг Gmail":
source="Gmail phishing"

Чтобы запросить все оповещения из источника, название которого начинается с «Gmail», выполните следующие действия.
source:"Gmail"

Чтобы запросить все оповещения, запущенные в 2017 году:
startTime >= "2017-01-01T00:00:00Z" AND startTime < "2018-01-01T00:00:00Z"

Чтобы запросить все оповещения о фишинге, о которых сообщил пользователь, из источника "Gmail phishing":
type="User reported phishing" source="Gmail phishing"