因此,我一直在寻找如何在Kibana中添加图表来查询日志数据库并返回防火墙生成的拒绝最多的主机的IP地址。我们的防火墙将许可和拒绝日志发送到日志中继服务器,后者将其放入可通过Kibana界面搜索的数据库中。我在信息安全部门工作,现在我每周都要找到我们网络中被防火墙拒绝的五台主机。我在这里找到了类似的文章:How do I create a stacked graph of HTTP codes in Kibana?除了文章中的解决方案假设您知道一些您正在寻找的内容,例如HTTP代码。我不打算尝试将每个地址(20000+活动)添加到查询中,因此我需要找到一个查询和图表,它将为我找到前5个谈话者并比较相关的拒绝日志数量跟他们。这可以在Kibana完成吗?对我这么轻松,这是我的第一篇文章,我是Kibana的新手。
谢谢!
答案 0 :(得分:0)
这可能是你想要的:
您可以创建一个查询,查找要计算实例的两种消息(例如message_type:permit或message_type:deny。
然后,您可以使用ip地址字段创建两个术语面板,并告诉每个人使用不同的查询。
现在你已经有了两个面板,你可以看到你的顶级谈话者和你的顶级否认。
您可以添加与拒绝查询相关联的底部的事件表,该查询将显示与拒绝查询关联的特定事件。您的术语面板可用于过滤以查看特定IP的DENY。