@t-nakata さん、
Watcher でなくて良いのであれば、最近だと Elastic Security の検知ルールとして実装する方がこの手の検知は簡単に実装できます。
単純に一定時間内におけるログイン失敗回数で判定するなら Threshold、ご質問のように、成功せず失敗の連続を検知したいのであれば EQL が適切かと思います。
同様の質問があったのでご参考にしてください。
@t-nakata さん、
Watcher でなくて良いのであれば、最近だと Elastic Security の検知ルールとして実装する方がこの手の検知は簡単に実装できます。
単純に一定時間内におけるログイン失敗回数で判定するなら Threshold、ご質問のように、成功せず失敗の連続を検知したいのであれば EQL が適切かと思います。
同様の質問があったのでご参考にしてください。
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.