策略设计如下：

策略设计

规则适用条件

• must 里面的条件都必须满足
• must_not 里面的条件都必须不满足
• should 里面的条件任意满足一个即满足

备注：所有的 must 子句必须匹配, 并且所有的 must_not 子句必须不匹配,
默认的，不需要匹配任何 should 子句，一种情况例外：如果没有must子句，就必须至少匹配一个should子句

条件

一个审计规则里面可以包含多个条件，条件之间的匹配规则使用审计规则前面的 must、must_not 和 should 标识。

条件规则:

• 大于: > gt
• 小于: < lt
• 等于: == eq
• 模糊: abc *: 0或多个字符 ?: 0或1个字符 wildcard
• 范围: 2,7 范围在2-7之间，但不包含2和7 range
• 正则: 支持正则表达式 regexp
• IN: in查询 用逗号隔开满足任意一个即可 a,b,c

大于

待比较值大于指定值

适用范围 数字 和 日期

小于

待比较值小于指定值

适用范围 数字 和 日期

等于

待比较值等于指定值

适用范围 字符串

模糊

按照正则匹配指定字符串，匹配规则有：* 和 ?

适用范围 字符串

匹配规则如下

• 星号(*): 可以匹配任意字符
• 问号(?): 可以匹配0或1个字符

范围

待比较值在指定的上下界限之间

适用范围 数字和日期

注意：范围是不包含上下，即指定值必须大于或小于界限

正则

按照指定正则匹配进行规则匹配

IN

待比较值是指定的多个值的某一个或几个

适用范围 字符串