Utilizza le specifiche del filtro di query riportate di seguito nelle richieste API che offrono funzionalità di filtro. La stringa del filtro deve essere specificata come espressione o elenco di espressioni.
Espressioni semplici
I filtri devono essere specificati seguendo la seguente grammatica:
Un'espressione ha la forma generale:
<expr> |
::= |
<field> <operator> <value> |
<field>è unstring. Quando<field>contiene uno spazio o i due punti deve essere racchiuso tra virgolette doppie.<operator>potrebbe essere uguaglianza o operatori relazionali e segue le specifiche riportate di seguito:
L'operatore di uguaglianza"="è definito solo per i campi stringa.
L'operatore di corrispondenza prefisso":"è definito solo per i campi stringa.
Gli operatori relazionali"<" | ">" | "<=" | ">="sono definiti solo per i campi timestamp.
- Il valore di
<value>fornito deve esserestring; può essere in formatoTimestampa seconda di<field>. Quando<value>contiene uno spazio o i due punti, deve essere racchiuso tra virgolette doppie.
Elenchi di espressioni
È possibile unire espressioni per formare una query più complessa. La specifica BNF è:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
La precedenza delle operazioni di unione, dalla più alta alla più bassa, è NON E E
Esempi
Di seguito sono riportati alcuni filtri di esempio. Tieni presente che i campi effettivi supportati possono variare tra le diverse versioni dell'API. Per le colonne dei filtri disponibili in v1beta1, fai clic qui.
Per eseguire una query su tutti gli avvisi creati a partire dal 5 aprile 2018:
createTime >= "2018-04-05T00:00:00Z"
Per eseguire una query su tutti gli avvisi provenienti dalla fonte: "Gmail phishing":
source="Gmail phishing"
Per eseguire una query su tutti gli avvisi provenienti da una fonte che inizia con "Gmail":
source:"Gmail"
Per eseguire una query su tutti gli avvisi iniziati nel 2017:
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"