elastic search 查询语句

 

部署了半个月，分析一下数据：

须要提早知道的是，tpot中，天天的数据存一个index，而后每一个index里面有不一样的type，每条请求一个document

 

共24万条请求：

查看整个集群全部数据

 

以7月23日为例，1.5万条请求：

查看某一index的全部数据

 

查看天天都能捕获到哪些type的请求，想要看全部type须要本身整理：

查看每一个index的type

 

 dashboard中显示的请求都是攻击吗

 

dashboard中显示的honeypot中捕获的攻击请求只有cowrie，rdpy，elasticpot。

看了一下，cowire，rdpy中的请求基本上都算是攻击。

 

 

可是查看一下捕获到的elasticpot的请求：

查看某一type的全部数据，使用正则表达式*

src_ip 172.22.0.1是本地地址，这明明是我本身发的请求，却被看成攻击了，event_pot还被标作了alert。。。

而后用src_ip过滤掉本身的请求，发现就没有elasticpot攻击：

不等于

 

 

 

 

 

dashboard中没显示的请求就不是攻击吗

可是咱们在type里还看到了许多其余的请求，那这些是否是攻击呢？

以suricata为例，咱们看一下全部的suricata，八万条：

 

看一下请求的具体信息：

有的比较像攻击：src_ip不是本地ip，event_type的值为alert

有的一看就不是攻击：

例如上图这个event_type显示只是dns请求而已。

 

因此使用src_ip=192.168.0.233过滤掉全部dns请求：

过滤完直接从8w条变成1.5w条，没用的dns请求是真滴多啊。。。

但过滤出来的这1.5w条请求都是攻击么？

先筛选出event_type为alert的请求，5k多条，发现都是known attacker，src_ip都是陌生ip，能够确定是攻击

不等于+等于双条件查询

而后筛选出event_type不为alert的请求，1w多条，发现也都是陌生的ip，而根据蜜罐的性质，蜜罐不向外提供服务，因此基本能够确定这些是位置的攻击者，也都是攻击ip

不等于+不等于双条件查询

 

正则表达式过滤regexp（注意插入.要用\\.，表示选择要用，匹配16-32之间的整数，只能[16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31]，不能[16-31]，可是能够[0-9]）

匹配10.xxx.xxx.xxx的局域网地址：10\\..+

匹配172.16-31.xxx.xxx的局域网地址：172\\.[16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31]\\..+

匹配192.168.xxx.xxx的局域网地址：192\\.168\\..+

匹配127.xxx.xxx.xxx的本地地址：127\\..+

 

 

使用scroll分页查询

第一次查询。正常请求后面 加上?scroll=3m（这里3m表示缓存保留3min），而后从响应中取得_scroll_id来进行下一次分页请求。

下一次分页请求：POST _search/scroll 并在请求体中带上scroll和scroll_id参数便可

 

 

 

 

els查询：

https://coyee.com/article/10764-23-useful-elasticsearch-example-queries

https://blog.csdn.net/donghaixiaolongwang/article/details/57418306