Sử dụng thông số kỹ thuật của bộ lọc truy vấn bên dưới trong các yêu cầu API cung cấp khả năng lọc. Chuỗi bộ lọc phải được chỉ định dưới dạng một biểu thức hoặc danh sách biểu thức.
Biểu thức đơn giản
Bạn phải chỉ định bộ lọc bằng ngữ pháp sau:
Biểu thức có hình thức chung:
<expr> |
::= |
<field> <operator> <value> |
<field>là mộtstring. Khi<field>chứa dấu cách hoặc dấu hai chấm phải được đặt trong dấu ngoặc kép.<operator>có thể là toán tử đẳng thức hoặc toán tử quan hệ và tuân theo quy cách như sau:
Toán tử đẳng thức"="chỉ được xác định cho các trường chuỗi.
Toán tử so khớp tiền tố":"chỉ được xác định cho các trường chuỗi.
Toán tử quan hệ"<" | ">" | "<=" | ">="chỉ được xác định cho các trường dấu thời gian.
<value>được cung cấp phải làstringvà có thể ở định dạngTimestamptuỳ thuộc vào<field>. Khi<value>chứa dấu cách hoặc dấu hai chấm, bạn phải đặt trong dấu ngoặc kép.
Danh sách biểu thức
Bạn có thể kết hợp biểu thức để tạo thành một truy vấn phức tạp hơn. Quy cách của BNF như sau:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
Mức độ ưu tiên của các thao tác kết hợp, từ cao nhất đến thấp nhất, là KHÔNG, AND, OR.
Ví dụ
Dưới đây là một số bộ lọc ví dụ. Xin lưu ý rằng các trường thực tế được hỗ trợ có thể không giống nhau giữa các phiên bản API. Để biết các cột bộ lọc có trong v1beta1, hãy xem tại đây.
Để truy vấn tất cả cảnh báo được tạo vào hoặc sau ngày 5 tháng 4 năm 2018:
createTime >= "2018-04-05T00:00:00Z"
Để truy vấn tất cả cảnh báo từ nguồn "Lừa đảo trong Gmail":
source="Gmail phishing"
Để truy vấn tất cả cảnh báo từ một nguồn bắt đầu bằng "Gmail":
source:"Gmail"
Để truy vấn tất cả cảnh báo bắt đầu từ năm 2017:
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"
Để truy vấn tất cả cảnh báo lừa đảo do người dùng báo cáo từ nguồn này: type="User reported phishing" source="Gmail phishing"