maestro-add-blacklist
마에스트로 주소 그룹에 IP 주소를 추가합니다. 차단 목록에 IP 주소를 등록하여 네트워크 차단 정책에 활용할 수 있습니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 사용자 권한 |
| 라이선스 사용량 | 라이선스 집계와 무관한 명령어 |
| 병렬 실행 | 지원하지 않음 |
| 분산 실행 | 지원하지 않음 |
문법
maestro-add-blacklist group=GUID ip=ip_address [description=description] [period=minutes]
옵션
group=GUID- IP 주소를 추가할 주소 그룹의 GUID입니다. 필수 옵션입니다.
ip=ip_address- 주소 그룹에 추가할 IP 주소입니다. 필수 옵션입니다.
description=description- IP 주소를 추가하는 이유나 설명입니다.
period=minutes- 유지 기간(분)입니다. 현재 시각을 기준으로 만료 시간을 결정합니다. 1~52,560,000(100년) 범위의 정수로 지정합니다. 생략하면 만료 없이 유지됩니다.
입력 필드
없음 (드라이버 쿼리이므로 입력 레코드를 사용하지 않습니다)
출력 필드
없음 (부작용만 수행하며 레코드를 출력하지 않습니다)
오류 코드
파싱 오류
| 오류 코드 | 메시지 | 설명 |
|---|---|---|
| 300601 | group option is required. | group 옵션을 지정하지 않은 경우 |
| 300602 | ip option is required. | ip 옵션을 지정하지 않은 경우 |
| 300603 | Address group GUID format is invalid. | 주소 그룹 GUID 형식이 유효하지 않은 경우 |
| 300604 | IP address format is invalid. | IP 주소 형식이 유효하지 않은 경우 |
| 300605 | Period must be specified as an integer between 1 and 52560000. | period 값이 유효 범위를 벗어난 경우 |
설명
지정한 주소 그룹에 IP 주소를 추가합니다. period 옵션으로 유지 기간을 설정하면 해당 기간이 지난 후 자동으로 만료됩니다. 파이프라인으로 전달된 입력 레코드마다 IP 추가를 수행하고 레코드를 그대로 출력합니다.
사용 예
-
차단 목록에 IP 추가
| makeresults | maestro-add-blacklist group="aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" ip=192.0.2.100 description="공격 탐지" period=1440지정한 주소 그룹에 IP를 24시간(1,440분) 동안 차단 목록에 추가합니다.
-
탐지된 악성 IP 일괄 차단
table sonar_event_00001 | search rule_id == 1001 | stats dc(src_ip) as cnt, values(src_ip) as ips | explode ips | rename ips as ip | maestro-add-blacklist group="aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" ip=$(ip) description="자동 차단" period=10080특정 규칙으로 탐지된 출발지 IP를 7일(10,080분) 동안 차단합니다.
호환성
maestro-add-blacklist 명령어는 소나 4.0 이전 버전부터 제공되었습니다.