Alle Fragen
Unbeantwortet
Themen
Frage stellen
Kontakt

Bedingungen in Elasticsearch API kombinieren

lima-city: Webhosting, Domains und Cloud

2 Pluspunkte 0 Minuspunkte

Wie kann ich in Wazuh (Elasticsearch API) Bedingungen kombinieren so das ich z.B alle Eintrage finde in denen das Wort "xxx" im Feld "data.win.eventdata.targetusername" vorkommt aber gleichzeitig darf das Wort "Kerberos" nicht im Feld "data.win.eventdata.authenticationPackageName" vorkommen.

elasticsearch
wazuh
api

Gefragt von Anonym

Bitte logge dich ein oder melde dich neu an um zu kommentieren.

Deine Antwort

Bitte antworte ausführlich, sei höflich und halte dich an gängige Umgangsformen. Moderatoren können deine Antwort gegebenenfalls bearbeiten.

Dein angezeigter Name (optional):

Ich möchte eine Email an folgende Adresse erhalten, wenn meine Antwort ausgewählt oder kommentiert wird:Ich möchte eine Email erhalten, wenn meine Antwort ausgewählt oder kommentiert wird

Deine Email-Adresse benutzen wir ausschließlich, um dir Benachrichtigungen zu schicken.

1 Antwort

1 Pluspunkt 0 Minuspunkte

Du kannst in Wazuh (bzw. Elasticsearch) eine Kombination aus must und must_not verwenden, indem du eine bool Abfrage erstellst.

GET /_search
{
  "query": {
    "bool": {
      "must_not": [
        {
          "match": {
            "data.win.eventdata.authenticationPackageName": "Kerberos"
          }
        }
      ],
      "must": [
        {
          "match": {
            "data.win.eventdata.targetUserName": "xxx"
          }
        }
      ]
    }
  }
}

Beantwortet von shelly (1.1k Punkte)

Bitte logge dich ein oder melde dich neu an um zu kommentieren.

Ähnliche Fragen

Alle laufenden Tasks in Elasticsearch API anzeigenelasticsearch, api
Elasticsearch Authentifizierung in PHP mit Curlelasticsearch, php, curl, api
Verfügbare Indices in Elasticsearch anzeigenelasticsearch, api, curl
Mehr Ergebnisse in Elasticsearch anzeigenelasticsearch, api
Wazuh API Ergebnis strukturierenwazuh, api, json, csv

Feedback geben

Powered by Question2Answer