附录 A:Apache 异常检测配置
编辑附录 A:Apache 异常检测配置
编辑如果您在 Fleet 中使用 Apache 集成,或者使用 Filebeat 将 Apache HTTP 服务器的访问日志发送到 Elasticsearch,则这些异常检测作业向导将显示在 Kibana 中。这些作业假设您使用 Elastic 通用架构 (ECS) 中的字段和数据类型。
Apache 访问日志
编辑这些异常检测作业查找 HTTP 访问日志中的异常活动。
有关更多详细信息,请参阅 GitHub 中的数据馈送和作业定义。请注意,只有在存在与 清单文件 中指定的查询匹配的数据时,这些作业才在 Kibana 中可用。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
low_request_rate_apache |
检测低请求率。 |
|
|
source_ip_request_rate_apache |
检测异常源 IP - 高请求率。 |
|
|
source_ip_url_count_apache |
检测异常源 IP - 高 URL 唯一计数。 |
|
|
status_code_rate_apache |
检测异常状态码率。 |
|
|
visitor_rate_apache |
检测异常访客率。 |
|
|
Apache 访问日志 (Filebeat)
编辑这些旧版异常检测作业查找 HTTP 访问日志中的异常活动。对于最新版本,请在 Fleet 中安装 Apache 集成;请参阅 Apache 访问日志。
有关更多详细信息,请参阅 GitHub 中的数据馈送和作业定义。
只有在存在与 清单文件 中指定的识别器查询匹配的数据时,这些配置才可用。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
low_request_rate_ecs |
检测低请求率 (ECS)。 |
|
|
source_ip_request_rate_ecs |
检测异常源 IP - 高请求率 (ECS)。 |
|
|
source_ip_url_count_ecs |
检测异常源 IP - 高 URL 唯一计数 (ECS)。 |
|
|
status_code_rate_ecs |
检测异常状态码率 (ECS)。 |
|
|
visitor_rate_ecs |
检测异常访客率 (ECS)。 |
|
|