Добрый день.
Хочу настроить вывод логов удаления файлов с файлового сервера. В интернете нашел пример того, что хотелось бы реализовать у себя
Только вместо file_action сделать delete. Но столкнулся с тем, что у меня в Kibana почему то нет возможности выбора полей Object, например event_data.ObjectName.
Подскажите пожалуйста, в чем может быть проблема?
Скорее всего, маппинг не совместим с этой операцией. Для того, чтобы агрегация работала, нужна версия поля проиндексированного как keyword. Как вы видете у большинства полей это присутствует. На маппинг можно посмотреть командой get mapping.
Получается мне нужно в шаблон индекса добавить это поле?
Я этого не говорил. Просто сначала надо разобраться как выглядит маппинг, а потом можно поговорить о переиндексации чтобы эту проблему исправить.... если проблема действительно в меппинге
Всё было настолько просто, что даже смешно. На картинке написано решение. Нужно просто зайти в Management, выбрать Index Patterns и справа нажать Refresh field list. И все предупреждения с полей пропадают, в дашбордах теперь можно выбирать их все.
Правда у меня пока не получилось добиться нужного результата. Реальное удаление файла это Event 4660 сразу после 4663. Если Event 4663 один, то это только изменение. Заметил что события удаления можно группировать по полю "Object:Handle ID:" - этот ID совпадает в событиях 4660 и 4663.
Если брать поля
event_data.SubjectUserName.keyword, event_data.ObjectName.keyword, event_data.AccessMask.keyword, event_data.TransactionId.keyword, event_data.HandleId, то таблица получается близкой к тому что нужно, но не то. Пока не получается добиться чтобы оставались только уникальные события и только по удалению файлов.
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.
