maestro-add-blacklist
Logpresso MaestroのアドレスグループにIPアドレスを追加します。ブロックリストにIPアドレスを登録し、ネットワーク遮断ポリシーで使用できます。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | ユーザー |
| ライセンス使用量 | ライセンス集計対象外のコマンド |
| 並列実行 | 非対応 |
| 分散実行 | 非対応 |
構文
maestro-add-blacklist group=GUID ip=ip_address [description=description] [period=minutes]
オプション
group=GUID- IPアドレスを追加するアドレスグループのGUID。必須オプションです。
ip=ip_address- アドレスグループに追加するIPアドレス。必須オプションです。
description=description- IPアドレスを追加する理由または説明。
period=minutes- 保持期間(分)。現在時刻を基準に有効期限を設定します。1〜52,560,000(100年)の範囲の整数で指定します。省略すると有効期限なしで保持されます。
エラーコード
パースエラー
| エラーコード | メッセージ | 説明 |
|---|---|---|
300601 | group option is required. | groupオプションが指定されていない場合 |
300602 | ip option is required. | ipオプションが指定されていない場合 |
300603 | Address group GUID format is invalid. | アドレスグループのGUID形式が無効な場合 |
300604 | IP address format is invalid. | IPアドレスの形式が無効な場合 |
300605 | Period must be specified as an integer between 1 and 52560000. | period値が有効範囲外の場合 |
説明
指定したアドレスグループにIPアドレスを追加します。periodオプションで保持期間を設定した場合、その期間が経過すると自動的に有効期限が切れます。パイプラインを通じて渡される各入力レコードに対してIP追加処理が実行され、レコードはそのまま出力されます。
使用例
-
ブロックリストにIPを追加する
| makeresults | maestro-add-blacklist group="aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" ip=192.0.2.100 description="攻撃を検出" period=1440指定したアドレスグループのブロックリストに、24時間(1,440分)の保持期間でIPを追加します。
-
検出した悪性IPを一括遮断する
table sonar_event_00001 | search rule_id == 1001 | stats dc(src_ip) as cnt, values(src_ip) as ips | explode ips | rename ips as ip | maestro-add-blacklist group="aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" ip=$(ip) description="自動遮断" period=10080特定のルールで検出された送信元IPを7日間(10,080分)遮断します。