Hãy sử dụng các thông số bộ lọc truy vấn bên dưới trong các yêu cầu API cung cấp khả năng lọc. Chuỗi bộ lọc phải được chỉ định làm một biểu thức hoặc danh sách các biểu thức.
Biểu thức đơn giản
Bạn phải chỉ định các bộ lọc bằng cách sử dụng ngữ pháp sau:
Biểu thức có dạng chung:
<expr> |
::= |
<field> <operator> <value> |
<field>là mộtstring. Khi<field>chứa dấu cách hoặc dấu hai chấm phải được đặt trong dấu ngoặc kép.<operator>có thể là toán tử đẳng thức hoặc quan hệ, đồng thời tuân theo thông số kỹ thuật như sau:
Toán tử đẳng thức"="chỉ được xác định cho các trường chuỗi.
Toán tử so khớp tiền tố":"chỉ được xác định cho các trường chuỗi.
Các toán tử quan hệ"<" | ">" | "<=" | ">="chỉ được định nghĩa cho các trường dấu thời gian.
<value>mà bạn cung cấp phải làstring, có thể ở định dạngTimestamptùy thuộc vào<field>. Khi<value>chứa dấu cách hoặc dấu hai chấm, bạn phải đặt dấu ngoặc kép đó trong dấu ngoặc kép.
Danh sách biểu thức
Biểu thức có thể được kết hợp để tạo thành một truy vấn phức tạp hơn. Thông số BNF là:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
Ưu tiên các thao tác tham gia, từ cao đến thấp, là NOT, AND, OR.
Ví dụ
Dưới đây là một số bộ lọc mẫu. Xin lưu ý rằng các trường thực tế được hỗ trợ có thể khác nhau giữa các phiên bản API. Để xem các cột bộ lọc có sẵn trong v1beta1, hãy xem tại đây.
Để truy vấn tất cả các cảnh báo được tạo vào hoặc sau ngày 5 tháng 4 năm 2018:
createTime >= "2018-04-05T00:00:00Z"
Để truy vấn tất cả các cảnh báo từ nguồn "lừa đảo Gmail":
source="Gmail phishing"
Để truy vấn tất cả các cảnh báo từ một nguồn bắt đầu bằng "Gmail":
source:"Gmail"
Cách truy vấn tất cả cảnh báo bắt đầu trong năm 2017:
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"