| 연산 | 사용 지침 | 지원되는 필드 유형 | 예시 |
|---|---|---|---|
| 같음 / 같지 않음 | 필드가 필터의 값과 일치/불일치하면 이벤트가 일치합니다 | string, ip, bool, int | username은 “root”입니다 |
| is / is not (대소문자 구분 없음) | 필드가 필터의 값과 일치/불일치할 때 이벤트가 대소문자를 구분하지 않는 방식으로 일치합니다 | string, ip, bool, int | username은(대소문자 구분 없음) “rOot”입니다 |
| is in / is not in | 필드가 필터의 값 목록 항목과 일치/불일치하면 이벤트가 일치합니다 | string, int | username이 [ “root”, “admin” ]에 있음 port가 [25, 553]에 있음 |
| 비어 있음 | 필드 값이 지정되지 않으면 이벤트가 일치합니다. 이 연산자는 데이터 부재만 검사합니다 | string, int 배열, ip 배열, float 배열, bool 배열, string 배열 | errors_list가 비어 있음 |
| 비어 있지 않음 | 필드 값이 지정되면 이벤트가 일치합니다. 이 연산자는 데이터 존재 여부만 검사합니다 | string, int 배열, ip 배열, float 배열, bool 배열, string 배열 | errors_list가 비어 있지 않음 |
| 포함 | 지정된 필드의 값에 제공된 값이 포함되면 이벤트가 일치합니다 이벤트 값이 문자열 또는 문자열 배열인 경우 부분 일치가 지원됩니다 | string, int 배열, ip 배열, bool 배열, string 배열 | domain에 “.google.com”이 포함됨 p_any_port에 22가 포함됨 |
| contains (대소문자 구분 없음) | 지정된 필드의 값이 대소문자를 구분하지 않는 방식으로 제공된 값을 포함하면 이벤트가 일치합니다 이벤트 값이 문자열 또는 문자열 배열인 경우 부분 일치가 지원됩니다 | string, string 배열 | username에 (대소문자 구분 없음) "bad"가 포함됨 p_any_email에 (대소문자 구분 없음) "bad"가 포함됨 |
| 포함하지 않음 | 지정된 필드의 값에 제공된 값이 포함되지 않으면 이벤트가 일치합니다 이벤트 값이 문자열 또는 문자열 배열인 경우 부분 일치가 지원됩니다 | string, int 배열, ip 배열, bool 배열, string 배열 | domain !contains “.google.com” p_any_port !contains 22 |
| does not contain (대소문자 구분 없음) | 지정된 필드의 값에 대소문자를 구분하지 않는 방식으로 제공된 값이 포함되지 않으면 이벤트가 일치합니다 이벤트 값이 문자열 또는 문자열 배열인 경우 부분 일치가 지원됩니다 | string, string 배열 | domain !contains (대소문자 구분 없음) “.gOogle.com” p_any_email !contains "good" |
| starts with | 지정된 필드의 값이 제공된 값으로 시작하면 이벤트가 일치합니다 | 문자열 | role starts with “admin_” |
| starts with (대소문자 구분 없음) | 지정된 필드의 값이 대소문자를 구분하지 않는 방식으로 제공된 값으로 시작하면 이벤트가 일치합니다 | 문자열 | role starts with (대소문자 구분 없음) “aDmin_” |
| does not start with | 지정된 필드의 값이 제공된 값으로 시작하지 않으면 이벤트가 일치합니다 | 문자열 | role does not start with "admin_" |
| does not start with (대소문자 구분 없음) | 지정된 필드의 값이 대소문자를 구분하지 않는 방식으로 제공된 값으로 시작하지 않으면 이벤트가 일치합니다 | 문자열 | role does not start with (대소문자 구분 없음) "aDmin_" |
| ends with | 지정된 필드의 값이 제공된 값으로 끝나면 이벤트가 일치합니다 | 문자열 | domain ends with “.cc” |
| ends with (대소문자 구분 없음) | 지정된 필드의 값이 대소문자를 구분하지 않는 방식으로 제공된 값으로 끝나면 이벤트가 일치합니다 | 문자열 | domain ends with (대소문자 구분 없음) “.Cc” |
| does not end with | 지정된 필드의 값이 제공된 값으로 끝나지 않으면 이벤트가 일치합니다 | 문자열 | domain does not end with ".com" |
| does not end with (대소문자 구분 없음) | 지정된 필드의 값이 대소문자를 구분하지 않는 방식으로 제공된 값으로 끝나지 않으면 이벤트가 일치합니다 | 문자열 | domain does not end with ".coM" |
| 보다 큼 | 필드 값이 필터에서 제공된 값보다 크면 이벤트가 일치합니다 | int, float | port > 1023 |
| 보다 작음 | 필드 값이 필터에서 제공된 값보다 작으면 이벤트가 일치합니다 | int, float | port < 1024 |
| 보다 크거나 같음 | 필드 값이 필터에서 제공된 값보다 크거나 같으면 이벤트가 일치합니다 | 정수 | count ≥ 1 |
| 보다 작거나 같음 | 필드 값이 필터에서 제공된 값보다 작거나 같으면 이벤트가 일치합니다 | 정수 | count ≤ 100 |
| 비공개입니다 | 지정된 IP 주소가 비공개이면 이벤트가 일치합니다 | IP | dst_ip is_private |
| 공개입니다 | 지정된 IP 주소가 공개이면 이벤트가 일치합니다 | IP | src_ip is_public |
| CIDR에 포함 / CIDR에 포함되지 않음 | 지정된 IP 주소가 제공된 CIDR(Classless Inter-Domain Routing) 블록 안/밖에 있으면 이벤트가 일치합니다 | IP | src_ip in_cidr 192.168.0.0/16 |
| CIDR의 IP를 포함하지 않음 | 지정된 IP 배열에 제공된 CIDR 블록 내의 IP 주소가 하나도 없으면 이벤트가 일치합니다 | ip 배열 | p_any_ip_address !contains_ip 8.8.0.0/16 p_any_ip_address !contains_ip 1.1.1.1/32 |
| CIDR의 IP를 포함 | 지정된 IP 배열에 제공된 CIDR 블록 내의 IP 주소가 있으면 이벤트가 일치합니다 | ip 배열 | p_any_ip_address contains_ip 8.8.0.0/16 p_any_ip_address contains_ip 1.1.1.1/32 |
| 값 유형 | 설명 |
|---|---|
문자열 | 문자열 값 |
정수 | 범위 내의 32비트 정수 -2147483648, 2147483647 |
float | 64비트 부동 소수점 수 |
boolean | 불리언 값 true / false |
배열 | 각 요소가 동일한 유형인 JSON 배열 |
IP | 유효한 IPv4 또는 IPv6 주소 하나 |
CIDR | 클래스리스 인터도메인 라우팅 블록 하나 |