Телеграмм чат группы elk

{"query": {
    "bool": {
      "must": [
        {
          "match_phrase": {
            "fields.service": {
              "query": "hotel"
            }
          }
        },
        {
          "range": {
            "@timestamp": {
              "gte": "now-1d/m",
              "lt": "now/m",
              "format": "epoch_millis"
            }
          }
        }
      ],
      "filter": [
        {
          "bool": {
            "should": [
              {
                "query_string": {
                  "fields": [
                    "domain"
                  ],
                  "query": "*\\.booking\\.*"
                }
              }
            ],
            "minimum_should_match": 1
          }
        }
      ],
      "should": [],
      "must_not": []
    }
  }
}

источник

16:20пожаловаться #8

Dmitry in E.L.K.

ну который в кибане

источник

16:20пожаловаться #9

manefesto in E.L.K.

вот типа того

источник

16:20пожаловаться #10

АК

Александр Крыжановский in E.L.K.

в Dev Tools можно копировать сразу запрос в курл-виде

источник

16:20пожаловаться #11

АК

Александр Крыжановский in E.L.K.

manefesto

{"query": {
    "bool": {
      "must": [
        {
          "match_phrase": {
            "fields.service": {
              "query": "hotel"
            }
          }
        },
        {
          "range": {
            "@timestamp": {
              "gte": "now-1d/m",
              "lt": "now/m",
              "format": "epoch_millis"
            }
          }
        }
      ],
      "filter": [
        {
          "bool": {
            "should": [
              {
                "query_string": {
                  "fields": [
                    "domain"
                  ],
                  "query": "*\\.booking\\.*"
                }
              }
            ],
            "minimum_should_match": 1
          }
        }
      ],
      "should": [],
      "must_not": []
    }
  }
}

тупо в файл сохраняю и черезе собаку передаю

источник

16:21пожаловаться #12

manefesto in E.L.K.

я так и делал

источник

16:21пожаловаться #13

АК

Александр Крыжановский in E.L.K.

curl -XGET "http://localhost:9200/netflow-*/_search" -H 'Content-Type: application/json' -d'сюдазапрос'

источник

16:21пожаловаться #14

manefesto in E.L.K.

я правда модулем пользовался elasticsearch

источник

16:22пожаловаться #15

manefesto in E.L.K.

в итоге получилось такое

источник

16:22пожаловаться #16

manefesto in E.L.K.

ES_HOST = {"host": "localhost", "port": 9200}
es = Elasticsearch(hosts=[ES_HOST])


with open(pwd+"/rules/template.json") as data:
  template_json = json.load(data)

источник

16:22пожаловаться #17

manefesto in E.L.K.

потом формировал сам запрос и передавал в es

источник

16:22пожаловаться #18

manefesto in E.L.K.

ну короче там в структуру надо вникнуть, я не вник =)

источник

16:23пожаловаться #19

АК

Александр Крыжановский in E.L.K.

Dmitry

ну который в кибане

запрос-ответ есть?

источник

16:27пожаловаться #20