【天眼分析平台】【日志检索】日志检索告警日志获取来源

王岳飞发表于:2021年08月19日 14:58:34

分析中心》日志检

威胁告警=webshell上传+网页漏洞利用+网络攻击+威胁情报告警 +本地威胁情报产生的告警(通过日志检索导出数据时记得去重)

威胁告警

redis6381写入文件/data10/alarm/es

,文件写入到redis6379:

logcenter:skyeye-alarm_collection

ES

skyeye-alarm_collection-$date

威胁情报告警

redis6379:

logcenter:skyeye-ioc_dolog

ES

skyeye-ioc_dolog-$date

网络攻击

redis6379:

logcenter:skyeye-ids_dolog

ES

skyeye-ids_dolog-$date

webshell上传

redis6379:

logcenter:skyeye-webshell_dolog

ES

skyeye-webshell_dolog-$date

网页漏洞利用

redis6379:

logcenter:skyeye-webattack_dolog

ES

skyeye-webattack_dolog-$date

告警传输到ta,ta写入redis中,redis通过skybuild进程入库到es中