如果您使用 Auditbeat 来审计系统上的进程活动,这些异常检测作业向导会出现在 Kibana 中。有关更多详细信息,请参阅 GitHub 中的数据馈送和作业定义。
从 auditd 数据 (ECS) 检测 Docker 容器中不寻常的进程。
只有当存在与 清单文件中指定的识别器查询匹配的数据时,这些配置才可用。
docker_high_count_process_events_ecs
检测 Docker 容器 (ECS) 中进程执行速率的不寻常增加
docker_rare_process_activity_ecs
检测 Docker 容器 (ECS) 中罕见的进程执行
最受欢迎
视频
开始使用 Elasticsearch
Kibana 简介
用于日志和指标的 ELK