elastic search 查詢語句

 

部署了半個月，分析一下數據：

須要提早知道的是，tpot中，天天的數據存一個index，而後每一個index裏面有不一樣的type，每條請求一個document

 

共24萬條請求：

查看整個集羣全部數據

 

以7月23日爲例，1.5萬條請求：

查看某一index的全部數據

 

查看天天都能捕獲到哪些type的請求，想要看全部type須要本身整理：

查看每一個index的type

 

 dashboard中顯示的請求都是攻擊嗎

 

dashboard中顯示的honeypot中捕獲的攻擊請求只有cowrie，rdpy，elasticpot。

看了一下，cowire，rdpy中的請求基本上都算是攻擊。

 

 

可是查看一下捕獲到的elasticpot的請求：

查看某一type的全部數據，使用正則表達式*

src_ip 172.22.0.1是本地地址，這明明是我本身發的請求，卻被看成攻擊了，event_pot還被標作了alert。。。

而後用src_ip過濾掉本身的請求，發現就沒有elasticpot攻擊：

不等於

 

 

 

 

 

dashboard中沒顯示的請求就不是攻擊嗎

可是咱們在type裏還看到了許多其餘的請求，那這些是否是攻擊呢？

以suricata爲例，咱們看一下全部的suricata，八萬條：

 

看一下請求的具體信息：

有的比較像攻擊：src_ip不是本地ip，event_type的值爲alert

有的一看就不是攻擊：

例如上圖這個event_type顯示只是dns請求而已。

 

因此使用src_ip=192.168.0.233過濾掉全部dns請求：

過濾完直接從8w條變成1.5w條，沒用的dns請求是真滴多啊。。。

但過濾出來的這1.5w條請求都是攻擊麼？

先篩選出event_type爲alert的請求，5k多條，發現都是known attacker，src_ip都是陌生ip，能夠確定是攻擊

不等於+等於雙條件查詢

而後篩選出event_type不爲alert的請求，1w多條，發現也都是陌生的ip，而根據蜜罐的性質，蜜罐不向外提供服務，因此基本能夠確定這些是位置的攻擊者，也都是攻擊ip

不等於+不等於雙條件查詢

 

正則表達式過濾regexp（注意插入.要用\\.，表示選擇要用，匹配16-32之間的整數，只能[16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31]，不能[16-31]，可是能夠[0-9]）

匹配10.xxx.xxx.xxx的局域網地址：10\\..+

匹配172.16-31.xxx.xxx的局域網地址：172\\.[16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31]\\..+

匹配192.168.xxx.xxx的局域網地址：192\\.168\\..+

匹配127.xxx.xxx.xxx的本地地址：127\\..+

 

 

使用scroll分頁查詢

第一次查詢。正常請求後面 加上?scroll=3m（這裏3m表示緩存保留3min），而後從響應中取得_scroll_id來進行下一次分頁請求。

下一次分頁請求：POST _search/scroll 並在請求體中帶上scroll和scroll_id參數便可

 

 

 

 

els查詢：

https://coyee.com/article/10764-23-useful-elasticsearch-example-queries

https://blog.csdn.net/donghaixiaolongwang/article/details/57418306