网络安全系列-XII: Arkime如何将过滤表达式转换为ES查询?
2023-09-11 14:16:24 时间
Arkime(原名Moloch)是一个大规模的、开源的、索引数据包捕获和搜索工具。
查询过滤表达式写法
Arkime使用一种非常简单的查询语言来构建表达式。
- 支持使用括号进行分组,也支持使用&&和||进行逻辑AND和OR语句分组。
- 可以使用下表中描述的字段名和操作符直接访问字段
ES索引结构
arkime的会话信息是存储在ES索引中的,根据ES索引模板,每天创建一个索引,如arkime_sessions3_220407
注意:在elasticsearch中,类似dns.ASN是以json格式进行存储的
索引结构可以参见
相关文章
- es 大批量写入提高性能的策略
- es ElasticSearch 快速入门教程
- php 使用 ElasticSearch/es 的最佳实践
- ES查询tags字段为空或null
- OpenGL ES之glUniform函数
- ES数据打平或者flat扁平化 导致嵌套对象查询可能出错
- ES 處於“initializing”狀態,此時主節點正在嘗試將分片分配到集群中的數據節點。 如果您看到分片仍處於初始化或未分配狀態太長時間,則可能是您的集群不穩定的警告信號。
- ES cross cluster search跨集群查询
- lucene LZ4 会将doc存储在一个chunk里进行Lz4压缩 ES的_source便如此
- ES doc_values的来源,field data——就是doc->terms的正向索引啊,不过它是在查询阶段通过读取倒排索引loading segments放在内存而得到的?
- ES(ElasticSearch) 索引创建
- Android12之OpenSL ES中objectIDtoClass分析拆解(十三)