10.82. PGSQL 关键词

10.82.1. pgsql.query

该关键词是一个粘性缓冲区，用于匹配引擎解析的PostgreSQL query 请求消息内容。注意此缓冲区仅检查PostgreSQL消息的`字符串`部分，跳过标识符和长度等其他字段，专注于查询本身。

当前，它暴露了EVE输出中 pgsql.request.simple_query 字段的内容。

pgsql.query 可作为 fast_pattern 使用 (参见 fast_pattern)。

配合 nocase 使用可避免匹配时的字母大小写敏感问题。

10.82.1.1. 示例

alert pgsql any any -> any any (msg:"简单SELECT规则"; pgsql.query; content:"SELECT *"; sid:1;)

alert pgsql any any -> any any (msg:"简单删除规则"; pgsql.query; content:"delete"; nocase sid:2;)