ewalker-waf-alerts
eWalker WAF 장비에서 경보 목록을 조회합니다.
ewalker-waf-alerts [profile=PROFILE] [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [order=ORDER]
- profile=PROFILE
- eWalker WAF 접속 프로파일 식별자
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 로그로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- order=ORDER
- desc 또는 asc
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 날짜 | 시각 | 로그 시각 |
| profile | 문자열 | 접속 프로파일 | eWalker WAF 접속 프로파일 식별자 |
| es_index | 문자열 | 인덱스 | Elastic 인덱스 이름 |
| es_id | 문자열 | 로그 ID | Elastic 로그 ID |
| src_ip | IP 주소 | 출발지 IP | 클라이언트 IP 주소 |
| dst_ip | IP 주소 | 목적지 IP | 서버 IP 주소 |
| target_url | 문자열 | 대상 URL | 와일드카드를 포함한 경로 |
| category | 문자열 | 분류 | 예: Trust IP, Rule |
| owasp | 문자열 | OWASP 코드 | 예: A01:2021 - Broken Access Control |
| rule_id | 32비트 정수 | 패턴 ID | 예: 4027 |
| signature | 문자열 | 패턴 이름 | 예: Get Slowloris attack |
| action | 문자열 | 대응 | 예: PERMIT, DETECT, BLOCK |
| count | 32비트 정수 | 탐지 건수 | |
| status | 32비트 정수 | 상태 | HTTP 상태 코드. 예: 200 |
| method | 문자열 | 메소드 | HTTP 메소드 |
| path | 문자열 | 경로 | 예: / |
| query | 문자열 | 쿼리 | 예: input=cat /etc/passwd |
| match_target | 문자열 | 탐지 대상 | 예: url query |
| match_data | 문자열 | 탐지 데이터 | 예: input=cat /etc/passwd |
| match_offset | 32비트 정수 | 탐지 위치 | 예: 10 |
| match_length | 32비트 정수 | 탐지 길이 | 예: 12 |
| match | 문자열 | 탐지 정보 | |
| start_time | 날짜 | 시작 시각 | |
| end_time | 날짜 | 종료 시각 | |
| request_headers | 문자열 | HTTP 요청 헤더 목록 | |
| response_headers | 문자열 | HTTP 응답 헤더 목록 |