0
点赞
收藏
分享

微信扫一扫

网络安全系列-XII: Arkime如何将过滤表达式转换为ES查询?

Arkime(原名Moloch)是一个大规模的、开源的、索引数据包捕获和搜索工具。

查询过滤表达式写法

Arkime使用一种非常简单的查询语言来构建表达式。

  • 支持使用括号进行分组,也支持使用&&和||进行逻辑AND和OR语句分组。
  • 可以使用下表中描述的字段名和操作符直接访问字段
    在这里插入图片描述
    在这里插入图片描述

ES索引结构

arkime的会话信息是存储在ES索引中的,根据ES索引模板,每天创建一个索引,如arkime_sessions3_220407
注意:在elasticsearch中,类似dns.ASN是以json格式进行存储的

索引结构可以参见github上的源码的4167 ~ 5173行

或 在已经搭建好的arkime环境中,通过http://IP:9200/_template/arkime_sessions3_template?pretty查看

如何将过滤表达式转换为ES查询

  • 将表达式中的字段转换为ES的field
  • and 转换为ES的bool filter查询
  • or 转换为ES的bool shoud查询
举报

相关推荐

0 条评论