정렬 연산자
개요
다음으로 정렬된 주문 데이터 정렬. 기본 정렬 순서는 내림차순입니다.
| sort <필드 또는 식> [asc|desc] [nulls first|nulls last][, ...]이 기능은 규칙이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알림 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.
단일 필드로 정렬
aws_alb
| sort p_event_time{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "elbStatusCode": 403, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.1", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "elbStatusCode": 404, "requestHttpVersion": "HTTP/2.0" }
여러 필드로 정렬
각기 다른 정렬 순서를 가진 여러 필드를 지정할 수 있습니다
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "elbStatusCode": 404, "requestHttpVersion": "HTTP/2.0" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.1", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "elbStatusCode": 200, "requestHttpVersion": "HTTP/1.1" }
{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "elbStatusCode": 403, "requestHttpVersion": "HTTP/1.1" }
알림 심각도별 정렬
알림을 쿼리하고 결과를 심각도별로 정렬할 때, 실제 심각도 순(예: 치명적(CRITICAL) > 높음(HIGH) > 중간(MEDIUM) > 낮음(LOW) > 정보(INFO) 또는 그 반대)으로 정렬하려는 경우가 많습니다. 그러나 단순히 다음과 같은 절을 사용하면 | sort severity, 심각도 정렬은 알파벳순으로 수행됩니다.
실제 심각도 순으로 정렬하려면, 다음을 활용하세요 case Python 탐지에서 다음과 같이:
Last updated
Was this helpful?