日志易通过lookup调用自定义地址库形成攻击视图
该方法采用look命令实现
1.新建一个地址列表的csv文件内容如下
ip,city,lo,la
ip为你该区域的地址,lo 经度,la 纬度,国家省可以不用。csv文件放在日志易服务器的/data/rizhiyi/spldata/lookup/下,如果是多台设备集群就都放上。
2.日志解析,解析出源地址和目标地址。我用了一个简单样
3.通过新数据进行统计,完整的spl为
appname:pr
| stats count() by out.s_ip,out.d_ip
| lookup lo,la /data/rizhiyi/spldata/lookup/ip.csv on out.s_ip=ip
| rename lo as f_lo,la as f_la,ip as f_ip
| lookup lo,la /data/rizhiyi/spldata/lookup/ip.csv on out.d_ip=ip
| rename ip as t_ip
4.说明
如果你看不明白上面一串你分别进行执行
appname:pr
| stats count() by out.s_ip,out.d_ip
appname:pr
| stats count() by out.s_ip,out.d_ip
| lookup lo,la /data/rizhiyi/spldata/lookup/ip.csv on out.s_ip=ip
appname:pr
| stats count() by out.s_ip,out.d_ip
| lookup lo,la /data/rizhiyi/spldata/lookup/ip.csv on out.s_ip=ip
| rename lo as f_lo,la as f_la,ip as f_ip
分别执行三个语句你看一下区别。
5 做图
选图
然后点击设置,设置源ip地址地区经纬度,同样的方法选择目标地区的经纬度。权重使用
权重选择统计值
区域选择中国,效果如下
城市经纬度可以在百度上查询。
- 发表于 2019-12-13 16:43
- 阅读 ( 3187 )
- 分类:SPL与常用搜索
