ml-beacon-sessions
탐지된 비콘 연결의 세션 로그를 조회합니다.
문법
ml-beacon-sessions [schema=스키마] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [duration=NUM{mon|w|d|h|m|s}] [threshold=임계값]
옵션
- schema=스키마
- 선택 옵션. 스키마 이름 (기본값: session)
- from=yyyyMMddHHmmss
- 선택 옵션. 시작 시간 (yyyyMMddHHmmss)
- to=yyyyMMddHHmmss
- 선택 옵션. 종료 시간 (yyyyMMddHHmmss)
- duration=NUM{mon|w|d|h|m|s}
- 선택 옵션. 시간 범위 (예: 1d, 1h)
- threshold=임계값
- 선택 옵션. 평균 간격 임계값 (초 단위, 기본값: 600)
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 날짜 | 시간 | 세션 시간. 예: 2025-01-01 00:00:00 |
| _table | 문자열 | 테이블 | 테이블 이름. 예: pfsession |
| log_type | 문자열 | 로그 유형 | 로그 유형. 예: session |
| subtype | 문자열 | 하위 유형 | 로그 하위 유형. 예: start, end |
| session_id | 64비트 정수 | 세션 ID | 세션 식별자. 예: 123456 |
| src_ip | IP 주소 | 출발지 IP | 출발지 IP 주소. 예: 192.168.0.1 |
| src_port | 32비트 정수 | 출발지 포트 | 출발지 포트 번호. 예: 54321 |
| dst_ip | IP 주소 | 목적지 IP | 목적지 IP 주소. 예: 8.8.8.8 |
| dst_port | 32비트 정수 | 목적지 포트 | 목적지 포트 번호. 예: 443 |
| protocol | 문자열 | 프로토콜 | 프로토콜. 예: TCP, UDP, ICMP |
| app | 문자열 | 애플리케이션 | 애플리케이션 이름. 예: ssl, ms-netlogon, incomplete |
| policy | 문자열 | 정책 | 정책 이름. 예: allow-internet |
| action | 문자열 | 동작 | 수행된 동작. 예: allow, deny |
| end_reason | 문자열 | 종료 이유 | 세션 종료 이유. 예: aged-out, tcp-rst-from-client, tcp-rst-from-server |
| reason | 문자열 | 사유 | 사유. 예: policy-deny |
| src_zone | 문자열 | 출발지 영역 | 출발지 영역. 예: untrust, intranet |
| dst_zone | 문자열 | 목적지 영역 | 목적지 영역. 예: untrust, intranet |
| nat_src_ip | IP 주소 | NAT 출발지 IP | NAT 출발지 IP. 예: 203.0.113.1 |
| nat_src_port | 32비트 정수 | NAT 출발지 포트 | NAT 출발지 포트. 예: 12345 |
| nat_dst_ip | IP 주소 | NAT 목적지 IP | NAT 목적지 IP. 예: 8.8.8.8 |
| nat_dst_port | 32비트 정수 | NAT 목적지 포트 | NAT 목적지 포트. 예: 443 |
| total_bytes | 64비트 정수 | 전체 바이트 | 전송된 전체 바이트. 예: 3072000 |
| sent_bytes | 64비트 정수 | 송신 바이트 | 송신 바이트. 예: 1024000 |
| rcvd_bytes | 64비트 정수 | 수신 바이트 | 수신 바이트. 예: 2048000 |