Graph 在Kibana+中查找被防火墙拒绝的前5个主机；弹性搜索+；伐木场

因此，我一直在四处寻找，试图找到如何在Kibana中添加一个图，该图将查询日志数据库并返回防火墙生成的拒绝次数最多的主机的IP地址。我们的防火墙将许可和拒绝日志发送到日志中继服务器，该服务器将其放入可通过Kibana接口进行搜索的数据库中。我在信息安全部门工作，现在我每周的任务是查找网络上被防火墙拒绝最多的五台主机。我在这里发现了一篇类似的文章：除了本文中的解决方案假设您知道一些您正在寻找的东西，例如HTTP代码。我不会尝试将我们拥有的每个地址（20000+活动地址）都添加到查询中，因此我需要找到一个查询和图表，为我找到前5位说话者，并比较与他们相关的拒绝日志数。这能在基巴纳做到吗？放松点，这是我的第一篇帖子，我是Kibana的新手

---

谢谢

这可能是您想要的：

您可以创建一个查询，该查询将查找要计算实例数的两种消息（例如，message_type:permit或message_type:deny）

然后，您可以使用ip地址字段创建两个术语面板，并告诉每个术语使用不同的查询

现在你已经有了两个面板，你可以看到你的顶级说话者和顶级否认者

---

您可以在底部添加一个与拒绝查询关联的事件表，该表将显示与拒绝查询关联的特定事件。您的术语面板可用于向下筛选以查看特定IP的deny。

使用Kibana的直方图听起来很难。我还没有尝试过，但您可能会看到是否可以使用ES来构建拒绝查询，或者查看你可以用Logstash和。