5.IP 블랙리스트

Edit

5.1matchblackipmatchblackip

주어진 IP 블랙리스트를 이용하여 입력 레코드를 필터링합니다.

문법

matchblackip guid=BLACKLIST_GUID fields=TARGET_FIELD [invert=t] [verify=f]
guid=BLACKLIST_GUID

IP 블랙리스트 GUID 식별자

fields=TARGET_FIELD

쉼표(,)로 구분된 대상 필드 목록

invert=t

t로 설정하면 기본 모드와 달리 IP 블랙리스트에 대상 필드 값이 포함되지 않아야 출력으로 내보냅니다.

verify=f

f로 설정하면 쿼리 파싱 단계에서 IP 블랙리스트 개체의 유효성을 검증하지 않습니다. 이 옵션은 시스템이 정책 동기화 단계에서 문법 오류를 내지 않기 위해 설정합니다. 기본값은 활성화(t)입니다.

설명

matchblackip 명령어는 주어진 IP 블랙리스트를 이용하여 입력 레코드를 필터링합니다. 대상 필드 중 하나라도 지정된 IP 블랙리스트에 포함되면 출력으로 내보냅니다. invert 옵션이 활성화된 경우, 대상 필드 중 하나도 IP 블랙리스트에 포함된 값이 없어야 출력으로 내보냅니다.

명령 실행 후 출력되는 필드는 다음 표를 참조하세요.

필드 이름

타입

설명

blackip_guid

문자열

IP 블랙리스트 GUID 식별자

blackip_name

문자열

IP 블랙리스트 이름

blackip_field

문자열

블랙 IP 발견 필드 이름

blackip_invert

불린

invert 옵션 값

5.2node-ip-blacklistnode-ip-blacklist

node-ip-blacklist 커맨드는 SNR #1118 2019-08-01_18-34 일자 버전부터 사용 가능합니다.

수집 노드에서 분석 노드와 동기화된 해당 식별자의 IP 블랙리스트 항목을 조회합니다.

문법

node-ip-blacklist [guid=BLACKLIST_GUID]
guid=BLACKLIST_GUID

IP 블랙리스트 GUID 식별자

설명

node-ip-blacklist 명령어는 수집 노드에서만 사용 가능합니다. 식별자를 지정하면 수집 노드에서 분석 노드와 동기화된 해당 식별자의 IP 블랙리스트 항목을 조회합니다. 식별자를 입력하지 않으면 동기화된 IP 블랙리스트 목록을 조회합니다.

명령 실행 후 출력되는 필드는 다음 표를 참조하세요.

표 5-1IP 블랙리스트 GUID를 지정했을 때 보여주는 필드

필드 이름

타입

설명

ip

IP

해당 블랙리스트에 있는 IP

description

문자열

IP 설명

표 5-2IP 블랙리스트 GUID를 지정하지 않았을 때 보여주는 필드

필드 이름

타입

설명

id

정수

정수 식별자

guid

문자열

IP 블랙리스트 GUID 식별자

name

문자열

IP 블랙리스트 이름

description

문자열

IP 블랙리스트 설명

count

정수

IP 항목 갯수

version

정수

IP 블랙리스트 버전

company_guid

문자열

회사 GUID 식별자

company_name

문자열

회사 이름

created

문자열

IP 블랙리스트 생성 일시

updated

문자열

IP 블랙리스트 마지막 수정 일시

사용 예

1) 수집 서버에서 동기화된 IP 블랙리스트 목록 조회

node-ip-blacklist

2) 수집 서버에서 동기화된 특정 IP 블랙리스트 항목 조회

node-ip-blacklist guid=efd0c9cf-8582-4d5a-938d-9bb6a990579c
Count of comments [0]