所以我试图在ElastAlert中设置一个黑名单,但是正在努力进行通配符匹配。
最终目标是让我拥有一个我填充域名的文件。 然后,ElastAlert规则读取此黑名单文件,并在任何域(包括子域)被命中时提醒我。
到目前为止,我让它与文件中列出的域完全匹配。 (即evil-domain.com)
但是,我无法以www.evil-domain.com
我在文件中尝试了许多不同的通配符匹配,例如:
*evil-domain.com/ .+evil-domian.com/ /*evil-domain.com/ 但它们都不起作用,或者至少我没有设法让它们起作用。
ElastAlert中是否有这样的用例,如果是这样,怎么样?