附录 A:Apache 异常检测配置
编辑附录 A:Apache 异常检测配置
编辑如果您在 Fleet 中使用 Apache 集成,或者使用 Filebeat 将来自您的 Apache HTTP 服务器的访问日志发送到 Elasticsearch,这些异常检测作业向导将出现在 Kibana 中。这些作业假设您使用 Elastic Common Schema (ECS) 中的字段和数据类型。
Apache 访问日志
编辑这些异常检测作业在 HTTP 访问日志中查找异常活动。
有关更多详细信息,请参阅 GitHub 中的数据馈送和作业定义。请注意,仅当存在与 manifest 文件中指定的查询匹配的数据时,这些作业才会在 Kibana 中可用。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
low_request_rate_apache |
检测低请求率。 |
|
|
source_ip_request_rate_apache |
检测异常源 IP - 高请求率。 |
|
|
source_ip_url_count_apache |
检测异常源 IP - 高 URL 不同计数。 |
|
|
status_code_rate_apache |
检测异常状态代码率。 |
|
|
visitor_rate_apache |
检测异常访问者率。 |
|
|
Apache 访问日志 (Filebeat)
编辑这些旧版异常检测作业在 HTTP 访问日志中查找异常活动。对于最新版本,请在 Fleet 中安装 Apache 集成;请参阅 Apache 访问日志。
有关更多详细信息,请参阅 GitHub 中的数据馈送和作业定义。
仅当存在与 manifest 文件中指定的识别器查询匹配的数据时,这些配置才可用。
| 名称 | 描述 | 作业 | 数据馈送 |
|---|---|---|---|
low_request_rate_ecs |
检测低请求率 (ECS)。 |
|
|
source_ip_request_rate_ecs |
检测异常源 IP - 高请求率 (ECS)。 |
|
|
source_ip_url_count_ecs |
检测异常源 IP - 高 URL 不同计数 (ECS)。 |
|
|
status_code_rate_ecs |
检测异常状态代码率 (ECS)。 |
|
|
visitor_rate_ecs |
检测异常访问者率 (ECS)。 |
|
|