packetbeat配置
摘要:packetbeat配置文件: #################### Packetbeat Configuration Example ######################### # This file is an example configuration file highlight
阅读全文
posted @
2024-04-09 11:00
momingliu11
阅读(75)
推荐(0) 编辑
Kibana导出查询结果
摘要:查询Exchange服务器上的安全事件日志,通过攻击源客户端计算机名称,获取攻击源IP Visualize - 新建 - Datatable - 索引 定义好过滤条件后,根据访问源IP进行分组,并统计访问次数,然后导出结果 定义好过滤条件后,导出被爆破的用户名,并统计次数,然后导出结果 通过直方图统
阅读全文
posted @
2024-03-15 10:39
momingliu11
阅读(789)
推荐(0) 编辑
Logstash grok正则调试
摘要:1.为Logstash添加一个配置文件dnsquery.conf,如下 input { kafka { add_field => { "es_index_name" => "dns-query" } bootstrap_servers => "10.0.8.1:9092" topics => "dn
阅读全文
posted @
2023-02-03 10:28
momingliu11
阅读(304)
推荐(0) 编辑
docker安装elasticsearch
摘要:1.拉取es docker镜像,地址:https://www.docker.elastic.co/r/elasticsearch/elasticsearch ES docker安装参考:https://www.elastic.co/guide/en/elasticsearch/reference/c
阅读全文
posted @
2021-09-28 11:21
momingliu11
阅读(291)
推荐(0) 编辑
Winlogbeat配置负责均衡
摘要:配置文件如下: winlogbeat.event_logs: - name: Security ignore_older: 1h output.logstash: hosts: ["192.168.120.27:5044","192.168.120.27:5045"] loadbalance: tr
阅读全文
posted @
2021-09-27 16:48
momingliu11
阅读(112)
推荐(0) 编辑
Docker安装logstash
摘要:编辑docker-compose.yml,内容如下: version: '3' services: logstash02: image: logstash:6.4.1 hostname: logstash02 container_name: logstash02 ports: - "5045:504
阅读全文
posted @
2021-09-27 15:37
momingliu11
阅读(1820)
推荐(0) 编辑
Docker安装Kibana
摘要:参考:https://www.elastic.co/guide/en/kibana/current/docker.html https://www.kancloud.cn/apachecn/kibana-doc-zh/1947698 需要先确认ES版本,Kibana需要和ES版本相同,访问https
阅读全文
posted @
2021-09-22 19:36
momingliu11
阅读(160)
推荐(0) 编辑
Kibana Dev Tools应用
摘要:PUT iis_test #新建名为iis_test的索引DELETE iis_test #删除名为iis_test的索引GET iis_test/_mapping #查看名为iis_test的索引映射 POST iis_test/_doc #在名为iis_test的索引中插入一条数据{ "Even
阅读全文
posted @
2020-09-29 18:59
momingliu11
阅读(395)
推荐(0) 编辑
ElasticSearch 查询索引
摘要:GET iis_qr_2019-07/_search #查询iis_qr_2019-07索引下的所有日志 GET iis_qr_2019-07/_search?_source=c-ip,time #只返回c-ip和time字段 GET /iis_log_2019-07/_search?q=c-ip:
阅读全文
posted @
2019-07-19 11:45
momingliu11
阅读(1991)
推荐(0) 编辑
处理 unassigned shard
摘要:#查看所有分片 GET _cat/shards curl 10.1.2.2:9200/_cat/indices/iis_log* #查看索引的分片状态 #查看第一个unassigned shard的原因GET /_cluster/allocation/explain #查看iis_qr_2019-0
阅读全文
posted @
2019-07-19 10:51
momingliu11
阅读(960)
推荐(0) 编辑
ElasticSearch查看删除关闭索引
摘要:curl -XDELETE 'http://10.1.2.2:9200/iis_log_2019-07' #删除名为/iis_log_2019-07的索引 curl -XPOST 'http://10.1.2.2:9200/iis_log_2019-07/_close/' #关闭名为/iis_log
阅读全文
posted @
2019-07-17 18:09
momingliu11
阅读(6964)
推荐(0) 编辑
logstash配置
摘要:input { #You must define a [type], otherwise you cannot get a field to cut. tcp { port => 5045 type => "iis_mail_log" codec => "json" #start_position
阅读全文
posted @
2018-11-27 16:33
momingliu11
阅读(906)
推荐(0) 编辑
Kibana查询
摘要:查询lyad账号操作AD账号的操作: Category:"用户帐户管理" AND SubjectUserName:"lyad" 查询对账号zhangsan进行的操作: Category:"用户帐户管理" AND TargetUserName:"zhangsan" 查询zhangsan登录失败的日志:
阅读全文
posted @
2018-07-11 13:53
momingliu11
阅读(381)
推荐(0) 编辑