查詢表明細:
ELK的KQL樣例,顯示時間請選擇最近15天:
樣例1:查詢ol_lc 表增刪改查,不是jy2_rw的賬號明細
KQL:(ol_lc or oc.ol_lc) and (select or update or delete or insert or replace) and not User.keyword=jy2_rw
樣例2:查詢ol_lc表,不是ems_rw賬號只讀的SQL執行時間在2月24號的明細
KQL: (ol_lc or oc.ol_lc) and select and not User.keyword=ems_rw and Timestamp.keyword <="2021-02-24 23:59:59" and Timestamp.keyword >="2021-02-24 00:00:00"
樣例3,查詢ol_lc表,oc寫主庫d8t的edu_rw賬號明細
KQL: (ol_lc or oc.ol_lc) and edu_rw and d8t
KQL建議:
只讀: (表 or oc.表) and select (可以過濾 show columns from 表)
寫: (表 or oc.表) and (update or delete or replace or insert)
讀寫: (表 or oc.表) and (update or delete or select or replace or insert)
說明: 如不加上 oc.表, 如查ol_lc: SQL中有oc.ol_lc是查不出來的,切記。
KQL官網幫助文檔: https://www.elastic.co/guide/en/kibana/current/kuery-query.html#kuery-query
匯總表
表在各實例的賬號調用情況,方法如下:
ELK--Visualize–創建可視化–選擇"數據表",如下圖:
選擇"數據源": logstash-myaudit*,跳動聚合分析頁面。
在右邊選擇下列,對聚合的字段匯總計數:
其中:
數據Tab:
1,指標,選擇"計數"
2,存儲桶,
執行“添加”–“拆分行”: 選擇“詞” 字段:選擇“user.keyword” 排序依據:選擇“計數”,降序:大小改成:10000(或更大),定制標簽:填寫:用戶
執行“添加”–“拆分行”: 選擇“詞” 字段:選擇“Name.keyword” 排序依據:選擇“計數”,降序:大小改成:10000(或更大),定制標簽:填寫:名稱
選項Tab:
每頁最大行數改成: 10000(或更大)
百分比列改成:計數 (如需做百分比分析)
輸入KQL如:ttachment and select,顯示日期:選擇最近15天, 表在各實例賬號調用情況,能快速出來:
KQL可以根據實際情況靈活使用,如果不想查以前,在KQL里加上時間限制。
該結果,能通過點擊“原始”或者"格式化"導出csv,根據列表提供的實例名找到對應具體數據庫實例。