#송신자IP에서 접속한 메소드 종류별 개수 index=httplog sourcetype=httplog | stats count(method) by src #OPTIONS 요청 횟수가 10개 이상인 IP 주소만 필터링 index=httplog sourcetype=httplog | stats count(eval(method="OPTIONS")) AS option_count by src | where option_count > 10 | sort option_count desc >> OPTIONS 많은 사용은 공격으로 구분할 수 있음 #get, post, - 가 아닌 메소드 출력 index=httplog sourcetype=httplog | where NOT match(method, "(GET|POST|-)")..