tpot从elastic search拉攻击数据之一 找本地数据端口

前面，咱们已经在ubuntu服务器上部署好了tpot，并启动进行数据捕获

能够经过64297端口登录到kibana可视化平台查看捕获到攻击的状况。

 

如今要拉取攻击数据了，可是该怎么拉呢？

看了一上午的文档，发现文档中并无提到如何从elastic search中拉取数据：https://dtag-dev-sec.github.io/mediator/feature/2016/10/31/t-pot-16.10.html

 

一、首先是从哪拉

因而只能本身探索了，考虑了两个方案：

方案一：
kibana提供了可视化的查询数据的界面，咱们能够作一个爬虫，登录kibana界面后爬取数据。可是这样有点复杂，并且多了一层kibana，效率还会低一些。

方案二：

直接找到tpot中的elastic search的数据接口。可是这个数据接口该怎么找呢？官方文档中又没有说

登录到部署tpot的服务器

先top看一下，没有看出什么东西来

而后又find / -name elasticsearch.yml，找到了几个elastic search的配置文件，可是为何会有好几个elastic search配置文件呢？

打开其中一个看了一下：

看到了数据存储在/data/elk/data中，cd到里面看了一下，发现是elastic search的存储格式，没法直接使用

 

 

而后想到了经过9200端口来找

因而在tpot服务器上执行如下操做：

netstat -nap | grep 9200

发现了好几个占用9200的进程，而且给出了这些进程的ip和端口号

既然部署在本机上，那就先试试127.0.0.1:9200吧！

curl 127.0.0.1:9200

发现确实是els的端口！

而后很高兴的去查数据

 

结果error？为何

调了一下tpot服务器上的集群信息看了一眼

又调了kibana上的集群信息看了一眼

不是一个集群？？

而后反应过来了——tpot利用docker技术启动了多个elastic search集群

 那正确的数据集群在哪呢？

因而想到了刚才netstat命令看到的那些ip，其中有172.21.0.2:9200，试了一下，果真是这个！

 

 

tpot中的elastic search攻击数据集群的端口能够经过netstat命令查看，默认为172.21.0.2:9200，以下图