このセクションでは、シンプルなルールのクエリ構文を例を挙げて説明します。
以下の例では、デフォルト モードでのシンプルなルールについて説明します。
- All Event Categoriesレポート
- Attacks Event Categoriesレポート
- ソース:China Event Categoriesレポート
- IP Source and Destination Event Categoriesレポート
- by Time Threat Categoriesレポート
- Array Queryレポート
- Raw Log Queryレポート
All Event Categoriesレポート
このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義して、イベント カテゴリ、ソースの国名、宛先の国名を取得するものです。エイリアス名はそれぞれ、ソースの国名がcountry_src、宛先の国名がcountry_dstとなっています。
次の図は、All Event Categoriesルールの結果セットを示しています。
Attacks Event Categoriesレポート
このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、カテゴリ名が「Attacks.%」のようになっている列のみを選択してイベント カテゴリ、ソースの国名、宛先の国名を取得するものです。
次の図は、Attacks Event Categoriesルールの結果セットを示しています。
ソース:China Event Categoriesレポート
このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、ソースの国名が「China」の列のみを選択してイベント カテゴリ、ソースの国名、宛先の国名を取得するものです。
次の図に、ソースの結果セットを示します。China Event Categoriesルール
IP Source and Destination Event Categoriesレポート
このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義したうえで、宛先の国名がNULLでない列のみを選択し、ソースの国名および宛先の国名のIPアドレスを取得するものです。
次の図は、IP Source and Destination Event Categoriesルールの結果セットを示しています。
by Time Threat Categoriesレポート
このルールは、[セッション]テーブルから取得するフィールドそれぞれにエイリアス名(一時的な列名)を定義して、脅威カテゴリに該当するイベント、そのログまたはイベントがLog DecoderまたはDecoderに取り込まれた時刻、ソースのIPアドレスを取得するものです。
次の図は、by Time Threat Categoriesルールの結果セットを示しています。[時刻]フィールドに表示されている時間はUNIX時間です(たとえば、1388743446)。
注:レポートでUTC時間に変換する場合には、SELECT句で構文を「UNIX時間」にします。たとえば、時刻コンバーターEpochを使用して、UNIX時間(1388743446)をUTC(協定世界時:2014/01/03 3:34:06 PM)に変換できます。
Array Queryレポート
このルールは、[セッション]テーブルから「www.google.com」という値が含まれるエイリアス ホスト名の配列を取得するものです。
次の図は、セッションから配列を検索した結果のセットを示しています。
Raw Log Queryレポート
rawログは、[ログ]または[セッション]テーブルのいずれかから検索できます。
このルールでは、logsからraw_logメタを使用して、packet IDがNULLでないrawログを検索します。
次の図は、ログからrawログを検索した結果のセットを示しています。
このルールでは、セッションから${raw_log}メタを使用して、ソースのIPアドレスがNULLでないrawログを検索します。
次の図は、セッションからrawログを検索した結果のセットを示しています。