Use as especificações de filtro de consulta abaixo nas solicitações de API que fornecem recursos de filtragem. A string de filtro precisa ser especificada como uma expressão ou lista de expressões.
Expressões simples
É necessário especificar os filtros usando a seguinte gramática:
Uma expressão tem a forma geral:
<expr> |
::= |
<field> <operator> <value> |
<field>tem o status destring. Quando<field>tiver um espaço ou dois pontos, eles precisam estar entre aspas duplas.<operator>pode ser operadores de igualdade ou relacionais e segue a especificação abaixo:
O operador de igualdade"="é definido apenas para campos de string.
O operador de correspondência de prefixo":"é definido apenas para campos de string.
Os operadores relacionais"<" | ">" | "<=" | ">="são definidos apenas para campos de carimbo de data/hora.
- O
<value>fornecido precisa serstring, que pode estar no formatoTimestamp, dependendo do<field>. Quando<value>tiver um espaço ou dois-pontos, ele precisará estar entre aspas duplas.
Listas de expressões
As expressões podem ser mescladas para formar uma consulta mais complexa. A especificação do BNF é:
<exprList> |
::= |
<expr> |
|
<conjunction> |
::= |
"AND" | "OR" | "" |
<negation> |
::= |
"NOT" |
A precedência das operações de mesclagem, da maior para a menor, é NOT, AND e OR.
Exemplos
Confira abaixo alguns exemplos de filtros. Os campos aceitos podem variar entre as versões diferentes da API. Para conferir as colunas de filtro disponíveis no v1beta1, confira aqui.
Para consultar todos os alertas criados a partir de 5 de abril de 2018:
createTime >= "2018-04-05T00:00:00Z"
Para consultar todos os alertas da origem "Phishing do Gmail":
source="Gmail phishing"
Para consultar todos os alertas de uma origem que começa com "Gmail":
source:"Gmail"
Para consultar todos os alertas iniciados em 2017:
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"
Para consultar todos os alertas de phishing informados pelo usuário da origem "Gmail":
startTime >= "2017-01-01T00:00:00Z" AND startTime <
"2018-01-01T00:00:00Z"
Para consultar todos os alertas de phishing informados pelo usuário da origem "Gmail":
type="User reported phishing" source="Gmail phishing"