PGSQL 关键词 ############## .. role:: example-rule-emphasis pgsql.query *********** 该关键词是一个粘性缓冲区,用于匹配引擎解析的PostgreSQL `query` 请求消息内容。注意此缓冲区仅检查PostgreSQL消息的`字符串`部分,跳过标识符和长度等其他字段,专注于查询本身。 当前,它暴露了EVE输出中 ``pgsql.request.simple_query`` 字段的内容。 ``pgsql.query`` 可作为 ``fast_pattern`` 使用 (参见 :ref:`rules-keyword-fast_pattern`)。 配合 ``nocase`` 使用可避免匹配时的字母大小写敏感问题。 示例 ======== .. container:: example-rule alert pgsql any any -> any any (msg:"简单SELECT规则"; :example-rule-emphasis:`pgsql.query; content:"SELECT \*";` sid:1;) .. container:: example-rule alert pgsql any any -> any any (msg:"简单删除规则"; :example-rule-emphasis:`pgsql.query; content:"delete"; nocase` sid:2;)