Arkime(原名Moloch)是一个大规模的、开源的、索引数据包捕获和搜索工具。
查询过滤表达式写法
Arkime使用一种非常简单的查询语言来构建表达式。
- 支持使用括号进行分组,也支持使用&&和||进行逻辑AND和OR语句分组。
- 可以使用下表中描述的字段名和操作符直接访问字段
ES索引结构
arkime的会话信息是存储在ES索引中的,根据ES索引模板,每天创建一个索引,如arkime_sessions3_220407
注意:在elasticsearch中,类似dns.ASN是以json格式进行存储的
索引结构可以参见github上的源码的4167 ~ 5173行
或 在已经搭建好的arkime环境中,通过http://IP:9200/_template/arkime_sessions3_template?pretty查看
如何将过滤表达式转换为ES查询
- 将表达式中的字段转换为ES的field
- and 转换为ES的bool filter查询
- or 转换为ES的bool shoud查询
