附录 G:Nginx 异常检测配置
编辑附录 G:Nginx 异常检测配置
编辑如果您在 Fleet 中使用 Nginx 集成,或者使用 Filebeat 将来自 Nginx HTTP 服务器的访问日志发送到 Elasticsearch,这些异常检测作业向导将出现在 Kibana 中。这些作业假定您使用来自 Elastic Common Schema (ECS) 的字段和数据类型。
Nginx 访问日志
编辑在 HTTP 访问日志中查找异常活动。
仅当存在与 清单文件中指定的查询匹配的数据时,这些作业才在 Kibana 中可用。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
low_request_rate_nginx |
检测低请求率 |
|
|
source_ip_request_rate_nginx |
检测异常源 IP - 高请求率 |
|
|
source_ip_url_count_nginx |
检测异常源 IP - URL 的高唯一计数 |
|
|
status_code_rate_nginx |
检测异常状态码率 |
|
|
visitor_rate_nginx |
检测异常访问者率 |
|
|
Nginx 访问日志 (Filebeat)
编辑这些旧的异常检测作业在 HTTP 访问日志中查找异常活动。对于最新版本,请在 Fleet 中安装 Nginx 集成;请参阅 Nginx 访问日志。
仅当存在与 清单文件中指定的识别器查询匹配的数据时,这些作业才在 Kibana 中存在。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
low_request_rate_ecs |
检测低请求率 (ECS) |
|
|
source_ip_request_rate_ecs |
检测异常源 IP - 高请求率 (ECS) |
|
|
source_ip_url_count_ecs |
检测异常源 IP - URL 的高唯一计数 (ECS) |
|
|
status_code_rate_ecs |
检测异常状态码率 (ECS) |
|
|
visitor_rate_ecs |
检测异常访问者率 (ECS) |
|
|