Wazuh Abfrage mit mehreren Feldern die nicht zutreffen

lima-city: Webhosting, Domains und Cloud
1 Pluspunkt 0 Minuspunkte

Wie kann ich diesen Query so umschreiben das er alle Einträge findet wo das Wort "NTLM" nicht vorkommt?

GET /wazuh-alerts-4.x-2025.02.28/_search
{
  "query": {
    "bool": {
      "should": [
        {
          "match": {
            "data.win.eventdata.authenticationPackageName": "NTLM"
          }
        },
        {
          "match": {
            "data.win.eventdata.logonType": "NTLM"
          }
        }
      ],
      "minimum_should_match": 1
    }
  }
}

von  

1 Antwort

0 Pluspunkte 0 Minuspunkte

Statt "shoud" verwende "must_not".

GET /wazuh-alerts-4.x-2025.02.28/_search
{
  "query": {
    "bool": {
      "must_not": [
        {
          "match": {
            "data.win.eventdata.authenticationPackageName": "NTLM"
          }
        },
        {
          "match": {
            "data.win.eventdata.logonType": "NTLM"
          }
        }
      ]
    }
  }
}
von (495 Punkte)  

Ähnliche Fragen

Diese Community basiert auf dem Prinzip der Selbstregulierung. Beiträge werden von Nutzern erstellt, bewertet und verbessert – ganz ohne zentrale Moderation.

Wer hilfreiche Fragen stellt oder gute Antworten gibt, sammelt Punkte. Mit steigender Punktzahl erhalten Mitglieder automatisch mehr Rechte, zum Beispiel

  • Kommentare verfassen
  • Fragen und Antworten bewerten
  • Themen von Fragen bearbeiten
  • Fragen, Antworten und Kommentare bearbeiten
  • Inhalte ausblenden

So entsteht eine Plattform, auf der sich Qualität durchsetzt – getragen von einer engagierten Gemeinschaft.

2.3k Fragen

2.8k Antworten

265 Kommentare

14 Nutzer