這篇文章會示範如何設定與使用 Elastic Machine Learning (機器學習),機器學習讓我們能夠更快的分析與了解資料的狀況,提供異常的告警,甚至是未來數據的預測。
如果只是啟用而沒有進行相關配置的話就能夠單純的看到目前資料的相關統計
連到 kibana
Management ➔ License Management 開始 30 天試用
開啟 30 天試用
啟用之後就可以先用 ML 的資料視覺化工具看目前資料狀況
Machine Learning ➔ Data Visualizer
選取想要查看的 Index
選取 Index
相關統計資料,先點選
Use full filebeat-* data
詳細到可以看出從哪個網域、IP 連進來的
要進行機器學習分析,首先我們要建立一個 Job 去偵測可疑的登入行為,建立前要先預備資料,因為這次只需要 failed 或是 invalid 的資料,先到 Discover 透過 filter 設定以下篩選條件,最後記得把這個 Search 的結果儲存。
設定篩選條件
然後就可以按教學影片去建立一個 Job,這裡提供舊版的影片,包含 Single Metric 跟 Multi Metric 的過程,實際上流程差不多只是介面上稍有不同,這裡也簡單操作一次步驟如下:
從側面選單到 Machine Learning
在 Overview tab 選擇 Create Job
選擇我們剛剛儲存的 Search
選擇時間區間的時候預設可能會沒有資料,可以先點選 Use full filebeat-* data
選擇 Use a wizard 中的 Single 或是 Multi Metric
Pick fields 欄位選 High count (Event rate)
Bucket Span 填 5m: 每次迭代運算的時間間隔
Multi 可以多配置
在 Job ID 給一個命名
最後執行這個 Job
結果會包含計算權重分數,透過圖表標示異常值
權重分數在左側
標示異常值