context:
  dst_port: #Destination port that was targeted
    - "evt.Meta.service in ['tcp', 'udp'] ? evt.Meta.service + ':' + evt.Parsed.dst_port : ''"
  action:
    - evt.Parsed.action
  anchorname:
    - evt.Parsed.anchorname
  data_lenth:
    - evt.Parsed.data_length
  dst_ip:
    - evt.Parsed.dst_ip
  ip4_ecn:
    - evt.Parsed.ip4_ecn
  ip4_flags:
    - evt.Parsed.ip4_flags
  ip4_id:
    - evt.Parsed.ip4_id
  ip4_offset:
    - evt.Parsed.ip4_offset
  ip4_proto:
    - evt.Parsed.ip4_proto
  ip4_proto_id:
    - evt.Parsed.ip4_proto_id
  ip4_tos:
    - evt.Parsed.ip4_tos
  ip4_ttl:
    - evt.Parsed.ip4_ttl
  ip6_class:
    - evt.Parsed.ip6_class
  ip6_proto:
    - evt.Parsed.ip6_proto
  ip6_proto_id:
    - evt.Parsed.ip6_proto_id
  ip_ver:
    - evt.Parsed.ip_ver
  length:
    - evt.Parsed.length
  reason:
    - evt.Parsed.reason
  rule:
    - evt.Parsed.rule
  sequence_number:
    - evt.Parsed.sequence_number
  src_ip:
    - evt.Parsed.src_ip
  src_port:
    - evt.Parsed.src_port
  sub_rule:
    - evt.Parsed.sub_rule
  tcp_flags:
    - evt.Parsed.tcp_flags
  tcp_options:
    - evt.Parsed.tcp_options
  tcp_window:
    - evt.Parsed.tcp_window