如何使用 Elasticsearch 的 EQL 进行事件查询?

Sherwin.Wei Lv8
  2025-03-11 00:01:03 2025-03-11 00:01:03 Created   2025-03-11 00:01:03 2025-03-11 00:01:03 Updated      

如何使用 Elasticsearch 的 EQL 进行事件查询?

回答重点

在 Elasticsearch 中,EQL(Event Query Language)是一种专门设计用于事件流分析的查询语言。要使用 EQL 进行事件查询,主要步骤如下:

1)开启 EQL 功能:确保 Elasticsearch 集群上开启了 EQL 功能。
2)准备索引:在你需要查询的索引中准备好数据,并且这些数据是按照事件流的方式索引的。
3)编写 EQL 查询:使用 EQL 的语法编写你的查询,如 sequence、filter、join 等。
4)执行查询:通过 Kibana 或 Elasticsearch API 执行你的 EQL 查询。

下面是一个简单的 EQL 查询示例:

1
2
3
4
5
6
7
8
GET /my-index/_eql/search
{
  "query": """
    sequence by host.id
      [ process where process.name == "cmd.exe" ]
      [ network where network.direction == "outgoing" ]
  """
}

这个查询会返回主机上先启动了 cmd.exe 进程,随后进行了外向网络通信的事件流。

扩展知识

1)EQL 的基本语法:EQL 中最常用的语法包括 sequence、join 和 filter。sequence 用于查找一系列相关事件,join 用于基于特定字段关联不同事件,filter 用于筛选事件。

2)Elasticsearch 配置:确保 Elasticsearch 集群中的 xpack.eql.enabled 设置为 true。你可以在 elasticsearch.yml 配置文件中添加这一行,或者通过 Elasticsearch API 动态配置。

3)时序和关联事件:EQL 非常适合用于检测具有顺序关系的事件序列,特别是在安全信息和事件管理(SIEM)领域。例如,你可以用 EQL 检测疑似的攻击行为,如特定文件被多次访问然后被删除的过程。

4)优化 EQL 查询:为了优化 EQL 查询的性能,你可以在索引时使用合理的分片设置和字段映射,并在查询时利用 EQL 提供的优化参数。

5)结合 Kibana 使用:通常,EQL 和 Kibana 是配合使用的。你可以在 Kibana 的 Security Event 模块中直观地查看 EQL 查询结果,并进一步分析这些结果。

Comments
On this page
如何使用 Elasticsearch 的 EQL 进行事件查询?
  1. 如何使用 Elasticsearch 的 EQL 进行事件查询?
    1. 回答重点
    2. 扩展知识