W żądaniach interfejsu API z możliwościami filtrowania korzystaj z specyfikacji filtra zapytań wymienionych poniżej. Ciąg filtra musi być określony jako wyrażenie lub lista wyrażeń.
Proste wyrażenia
Filtry należy określić w następujący sposób:
Wyrażenie ma postać ogólną:
<expr> |
::= |
<field> <operator> <value> |
<field>
ma status:string
. Gdy<field>
zawiera spację lub dwukropek należy ująć go w cudzysłów podwójny.<operator>
może być operatorem równości lub relacyjnym i jest zgodny ze specyfikacją poniżej:
Operator równości ("="
) jest zdefiniowany tylko w polach ciągu.
Operator dopasowania prefiksów":"
jest zdefiniowany tylko w przypadku pól ciągów znaków.
Operatory relacyjne"<" | ">" | "<=" | ">="
są zdefiniowane tylko w przypadku pól sygnatur czasowych.
- Podana wartość
<value>
powinna mieć wartośćstring
, która może mieć formatTimestamp
, w zależności od<field>
. Gdy<value>
zawiera spację lub dwukropek, musisz go ująć w cudzysłów podwójny.
Listy wyrażeń
Możemy połączyć wyrażenia, by utworzyć bardziej złożone zapytanie. Specyfikacja BNF:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
W przypadku operacji łączenia (od najwyższej do najniższej) operator NIE należy do operatorów AND, AND i LUB.
Przykłady
Poniżej podajemy kilka przykładowych filtrów. Obsługiwane pola mogą się różnić w zależności od wersji interfejsu API. Informacje o kolumnach filtrów dostępnych w usłudze v1beta1
znajdziesz tutaj.
Aby wyszukać wszystkie alerty utworzone 5 kwietnia 2018 r. lub później:
createTime >= "2018-04-05T00:00:00Z"
Aby wyszukać wszystkie alerty ze źródła &phishingu:
source="Gmail phishing"
Aby wyszukać wszystkie alerty ze źródła, które zaczyna się od "Gmail":
Aby wysłać zapytanie do wszystkich alertów, które zaczęły się w 2017 roku:
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"