tpot從elastic search拉攻擊數據之一 找本地數據端口

前面，咱們已經在ubuntu服務器上部署好了tpot，並啓動進行數據捕獲

能夠經過64297端口登錄到kibana可視化平臺查看捕獲到攻擊的狀況。

 

如今要拉取攻擊數據了，可是該怎麼拉呢？

看了一上午的文檔，發現文檔中並無提到如何從elastic search中拉取數據：https://dtag-dev-sec.github.io/mediator/feature/2016/10/31/t-pot-16.10.html

 

一、首先是從哪拉

因而只能本身探索了，考慮了兩個方案：

方案一：
kibana提供了可視化的查詢數據的界面，咱們能夠作一個爬蟲，登錄kibana界面後爬取數據。可是這樣有點複雜，並且多了一層kibana，效率還會低一些。

方案二：

直接找到tpot中的elastic search的數據接口。可是這個數據接口該怎麼找呢？官方文檔中又沒有說

登錄到部署tpot的服務器

先top看一下，沒有看出什麼東西來

而後又find / -name elasticsearch.yml，找到了幾個elastic search的配置文件，可是爲何會有好幾個elastic search配置文件呢？

打開其中一個看了一下：

看到了數據存儲在/data/elk/data中，cd到裏面看了一下，發現是elastic search的存儲格式，沒法直接使用

 

 

而後想到了經過9200端口來找

因而在tpot服務器上執行如下操做：

netstat -nap | grep 9200

發現了好幾個佔用9200的進程，而且給出了這些進程的ip和端口號

既然部署在本機上，那就先試試127.0.0.1:9200吧！

curl 127.0.0.1:9200

發現確實是els的端口！

而後很高興的去查數據

 

結果error？爲何

調了一下tpot服務器上的集羣信息看了一眼

又調了kibana上的集羣信息看了一眼

不是一個集羣？？

而後反應過來了——tpot利用docker技術啓動了多個elastic search集羣

 那正確的數據集羣在哪呢？

因而想到了剛纔netstat命令看到的那些ip，其中有172.21.0.2:9200，試了一下，果真是這個！

 

 

tpot中的elastic search攻擊數據集羣的端口能夠經過netstat命令查看，默認爲172.21.0.2:9200，以下圖