ELK 查詢資料

Reference:

[elk] 教學與介紹

Kibana Query Language

Elasticsearch query string query with not equal to?

 

安裝ELK之後，查詢log的方法。

檢查 Stack Management / Index Management 確認有收到資料。

設定 index patterns 才能對 log 做查詢

設定要查看的 log index 及 fields

以這一篇為例，用 ELK 查詢遠端連線紀錄。

實用小工具 - 查誰在偷連我的 Windows？

輸入查詢KQL: (winlog.event_id : 4624) and (source.ip : *)

如果要用其他欄位查詢，可以用 View details 查看欄位。