Utilisez les spécifications de filtre de requête ci-dessous dans les requêtes API qui offrent des fonctionnalités de filtrage. La chaîne de filtre doit être spécifiée sous la forme d'une expression ou d'une liste d'expressions.
Expressions simples
Les filtres doivent être spécifiés selon la grammaire suivante:
Une expression se présente sous la forme générale:
<expr> |
::= |
<field> <operator> <value> |
<field>eststring. Lorsque<field>contient un espace ou que les deux-points doivent être entourés de guillemets.<operator>peut être des opérateurs d'égalité ou relationnelles, et suit la spécification comme ci-dessous:
L'opérateur d'égalité"="n'est défini que pour les champs de chaîne.
L'opérateur de correspondance du préfixe":"n'est défini que pour les champs de type chaîne.
Les opérateurs relationnels"<" | ">" | "<=" | ">="sont définis uniquement pour les champs d'horodatage.
- Le
<value>fourni doit êtrestring, qui peut être au formatTimestampen fonction de<field>. Lorsque<value>contient un espace ou un signe deux-points, il doit être placé entre guillemets.
Listes d'expressions
Les expressions peuvent être jointes pour former une requête plus complexe. La spécification BNF est:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
La priorité des opérations de jointure, de la plus élevée à la plus faible, n'est PAS ET, ET, OU.
Exemples
Vous trouverez ci-dessous quelques exemples de filtres. Notez que les champs réels compatibles peuvent varier selon les différentes versions de l'API. Pour consulter les colonnes de filtre disponibles dans v1beta1, cliquez ici.
Pour interroger toutes les alertes créées à partir du 5 avril 2018 :
createTime >= "2018-04-05T00:00:00Z"
Interroger toutes les alertes de la source "Gmail hameçonnage" :
source="Gmail phishing"
Interroger toutes les alertes provenant d'une source commençant par "Gmail" :
source:"Gmail"
Interroger toutes les alertes provenant de 2017 :
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"
;