status:active
dst 目标的
src 威胁来源
rawlog 原始日志
marks 分为智能标记 和基础标记
查询源IP是 src.ip:192.168.1.125
查询整个C段 src.ip:192.168.1.*
排除某个IP src.ip:120.86.252.* AND -src.ip:120.86.252.15
查询SQL src.country:"中国" AND mode:"SQL注入"
查询域名 fields.value.keyword:"baidu.com"
查询XFF为192.168.1.13的所有记录 fields.key.keyword:"xff" AND fields.value: "192.168.1.13"
查询请求头中包含shell的所有记录 fields.key.keyword:“request_head”AND fields.value:shell
查询开放了1723端口的所有记录 marks.details:1723
查询有响应头并且包含server的所有记录 fields.key.keyword:“response_head”AND fields.value:Server
如果我们要查找几万个IP,那么需要新建一个txt文本,将这些IP放在txt文本中,竖着排列,一行一行的,然后是替换。成一行,前面加上src.ip:()
Soar高级语法使用指导
最新推荐文章于 2023-09-10 16:30:00 发布