iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 13
0
Elastic Stack on Cloud

Hey~有聽說資安跟ELK有一腿嗎?系列 第 13

Day13 讓我看看!你都做了些什麼~常見查詢Part2

Hello 大家,
氣溫有感下降!
不下雨的話天氣真的蠻舒服的!
今天就接續來說會遇到的狀況吧~
昨天是針對確認單台電腦的狀況,
但通常發生事情的時候都會不只一台電腦,
所以我們需要進行多台電腦進行調查並從中找出一些共同點,
以便我們去發現事件的一些因素,
並且藉由這些結果去進行防禦的設定以及查找出是否有其他類似狀況的電腦。

假設一下情境,
今天發現有兩台電腦出現異常,
會利用dashboard進行進行資料的統整並抓取下來進行分析,
首先我們到dashboard的地方,
https://ithelp.ithome.com.tw/upload/images/20200928/20111375l35NHDHIoP.png
接著我們點選Create dashboard
https://ithelp.ithome.com.tw/upload/images/20200928/20111375hdRaQPAJ7y.png
接著Create new,因為dashboard可以放很多個圖,
我們現在只是要做其中一個,
https://ithelp.ithome.com.tw/upload/images/20200928/20111375KsvDtAzvo7.png
我們點選data table
https://ithelp.ithome.com.tw/upload/images/20200928/20111375kALg42aMoo.png
再來選擇你的data source
https://ithelp.ithome.com.tw/upload/images/20200928/201113750pXA0HL0i4.png
我們在Buckets這邊Split rows,
選到tables的話下條件就會變成有很多表,
https://ithelp.ithome.com.tw/upload/images/20200928/20111375lJeS465g3o.png
在Aggregation這邊我們選到terms
https://ithelp.ithome.com.tw/upload/images/20200928/20111375Mz7F0wvs9H.png
再來選則要看的Field
https://ithelp.ithome.com.tw/upload/images/20200928/20111375yVRMYqNDm8.png
Order這邊邊的size是說,
這個條件你可以出現幾個搜尋結果,
比如果選ip然後size選5的話,
結果就是出現5個ip,
https://ithelp.ithome.com.tw/upload/images/20200928/20111375HqOxKN7Ckf.png
旁邊option這邊可以設定一頁要出現幾筆資料,
https://ithelp.ithome.com.tw/upload/images/20200928/20111375Khqy0153sS.png
接著我們就可以在add filter這邊去下我們要找的IP的條件,
https://ithelp.ithome.com.tw/upload/images/20200928/20111375Tx6iO8QQor.png
最後就可以在最下面把結果輸出出來拉~
https://ithelp.ithome.com.tw/upload/images/20200928/20111375MX1XNoOuJf.png


上一篇
Day12 讓我看看!你都做了些什麼~常見查詢Part1
下一篇
Day14 讓我看看!你都做了些什麼~內對外的網路連線Part1
系列文
Hey~有聽說資安跟ELK有一腿嗎?30

尚未有邦友留言

立即登入留言