Abfrage nach blockierten Anfragen oder Adressen
Die Beispiele in diesem Abschnitt fragen nach blockierten Anfragen oder Adressen ab.
-
Extract the top 100 IP addresses blocked by a specified rule type
-
Count the number of times a request from a specified country has been blocked
-
Count the number of times a request has been blocked, grouping by specific attributes
-
Count the number of times a specific terminating rule ID has been matched
-
Retrieve the top 100 IP addresses blocked during a specified date range
Beispiel – Extrahiert die Top-100-IP-Adressen, die von einem angegebenen Regeltyp blockiert werden
Die folgende Abfrage extrahiert und zählt die 100 häufigsten IP-Adressen, die während des angegebenen Datumsbereichs durch die RATE_BASED-Beendigungsregel blockiert wurden.
SELECT COUNT(httpRequest.clientIp) as count, httpRequest.clientIp FROM waf_logs WHERE terminatingruletype='RATE_BASED' AND action='BLOCK' and "date" >= '2021/03/01' AND "date" < '2021/03/31' GROUP BY httpRequest.clientIp ORDER BY count DESC LIMIT 100
Beispiel – Zählt, wie oft eine Anfrage aus einem bestimmten Land blockiert wurde
Die folgende Abfrage zählt, wie oft die Anforderung von einer IP-Adresse angekommen ist, die zu Irland (IE) gehört und von der RATE_BASED-Beendigungsregel gesperrt wurde.
SELECT COUNT(httpRequest.country) as count, httpRequest.country FROM waf_logs WHERE terminatingruletype='RATE_BASED' AND httpRequest.country='IE' GROUP BY httpRequest.country ORDER BY count LIMIT 100;
Beispiel – Zählt, wie oft eine Anforderung blockiert wurde, gruppiert nach bestimmten Attributen
Die folgende Abfrage zählt, wie oft die Anfrage mit Ergebnisse gesperrt wurde, gruppiert nach WebACL, RuleId, ClientIP und HTTP-Anforderungs-URI.
SELECT COUNT(*) AS count, webaclid, terminatingruleid, httprequest.clientip, httprequest.uri FROM waf_logs WHERE action='BLOCK' GROUP BY webaclid, terminatingruleid, httprequest.clientip, httprequest.uri ORDER BY count DESC LIMIT 100;
Beispiel – Zählt, wie oft eine bestimmte beendende Regel-ID abgeglichen wurde
Die folgende Abfrage zählt, wie oft eine bestimmte Beendigungsregel-ID vorkam (WHERE
terminatingruleid='e9dd190d-7a43-4c06-bcea-409613d9506e'). Die Abfrage gruppiert dann die Ergebnisse nach WebACL, Action, ClientIP und HTTP-Anforderungs-URI.
SELECT COUNT(*) AS count, webaclid, action, httprequest.clientip, httprequest.uri FROM waf_logs WHERE terminatingruleid='e9dd190d-7a43-4c06-bcea-409613d9506e' GROUP BY webaclid, action, httprequest.clientip, httprequest.uri ORDER BY count DESC LIMIT 100;
Beispiel – Abrufen der Top-100-IP-Adressen, die während eines angegebenen Datumsbereichs blockiert wurden
Die folgende Abfrage extrahiert die Top-100-IP-Adressen, die für einen angegebenen Datumsbereich gesperrt wurden. Die Abfrage listet auch auf, wie oft die IP-Adressen gesperrt wurden.
SELECT "httprequest"."clientip", "count"(*) "ipcount", "httprequest"."country" FROM waf_logs WHERE "action" = 'BLOCK' and "date" >= '2021/03/01' AND "date" < '2021/03/31' GROUP BY "httprequest"."clientip", "httprequest"."country" ORDER BY "ipcount" DESC limit 100
