Bedingungen in Elasticsearch API kombinieren

lima-city: Webhosting, Domains und Cloud
2 Pluspunkte 0 Minuspunkte
Wie kann ich in Wazuh (Elasticsearch API) Bedingungen kombinieren so das ich z.B alle Eintrage finde in denen das Wort "xxx" im Feld "data.win.eventdata.targetusername" vorkommt aber gleichzeitig darf das Wort "Kerberos" nicht im Feld "data.win.eventdata.authenticationPackageName" vorkommen.
von  

1 Antwort

1 Pluspunkt 0 Minuspunkte

Du kannst in Wazuh (bzw. Elasticsearch) eine Kombination aus must und must_not verwenden, indem du eine bool Abfrage erstellst. 

GET /_search
{
  "query": {
    "bool": {
      "must_not": [
        {
          "match": {
            "data.win.eventdata.authenticationPackageName": "Kerberos"
          }
        }
      ],
      "must": [
        {
          "match": {
            "data.win.eventdata.targetUserName": "xxx"
          }
        }
      ]
    }
  }
}
von (617 Punkte)  

Ähnliche Fragen

Diese Community basiert auf dem Prinzip der Selbstregulierung. Beiträge werden von Nutzern erstellt, bewertet und verbessert – ganz ohne zentrale Moderation.

Wer hilfreiche Fragen stellt oder gute Antworten gibt, sammelt Punkte. Mit steigender Punktzahl erhalten Mitglieder automatisch mehr Rechte, zum Beispiel

  • Kommentare verfassen
  • Beiträge bewerten
  • Inhalte bearbeiten
  • Inhalte ausblenden

So entsteht eine Plattform, auf der sich Qualität durchsetzt – getragen von einer engagierten Gemeinschaft. Unser Ziel: Guter Inhalt. Für alle.

2.3k Fragen

2.8k Antworten

260 Kommentare

12 Nutzer