elk平台定制化查询规则

一、查询某IP在某时间内TOP10的请求

步骤:

  1. 点击“Visualize”选项卡
  2. 创建“Data table”
  3. 点击“From a new search”
  4. 下拉选择“F5-access”
  5. 在“buckets”区域点击“Split Rows”
  6. Aggregation区域下拉选择“Terms”
  7. Field区域下拉选择request
  8. Size区域修改为10
  9. 搜索框内输入:geo.ip="IP地址"
  10. 右上角选择时间即可

elk平台定制化查询规则_第1张图片

二、其余可看的参数

1、request

2、status

3、domainname

4、verb

 

三、关联查询

例句:

geo.ip='1.1.1.1' AND verb='post'

注意:AND必须大写

 

四、快速应用

1、活动页面事件展示

domainname='www.xxxx.com'

效果图展示:

elk平台定制化查询规则_第2张图片

2、post请求

verb='post'

效果图展示:

elk平台定制化查询规则_第3张图片

3、状态码404

status:404

效果图展示:

elk平台定制化查询规则_第4张图片

4、某IP查询

geo.ip='IP地址'

效果图展示:

elk平台定制化查询规则_第5张图片

转载于:https://www.cnblogs.com/AirCrk/p/6991944.html

你可能感兴趣的:(elk平台定制化查询规则)