elasticsearch - 在 Elasticsearch 数据中添加威胁 Intel 字段

标签 elasticsearch elastic-beats

我们如何在弹性代理日志进入 Elasticsearch 集群之前为其添加威胁情报数据?
我试图根据该日志中存在的详细信息向每个日志添加一些新字段。
示例:如果您考虑 VirusTotal
根据我们的弹性代理收集的进程名称,我需要通过计算其 Virustotal 分数在每一行中再添加一个字段。
我们如何添加该附加字段?

最佳答案

将日志导出到logstash。然后在logstash中接收后添加您的字段,然后将其发送到新索引。

关于elasticsearch - 在 Elasticsearch 数据中添加威胁 Intel 字段,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68098826/

上一篇:html - 在 html 输出的 Markdown 文本周围 float 图形和标题

下一篇:html - css如何在中心圆旁边创建2条水平线?

相关文章:

regex - Elasticsearch 正则表达式不起作用

elasticsearch - 如何执行搜索条件,例如 Elasticsearch 列表中的 where 值?

elasticsearch - 禁用Elasticsearch中所有字段的规范

elasticsearch - 打开的文件太多Elasticsearch和App Search

elasticsearch - GKE上的Metricbeats无法按预期工作-缺少部署,节点等

elasticsearch - 使用ELK处理来自同一台机器的多个日志

linux - Elastic filebeat 6.5.1错误: failed to read process cgroups

elasticsearch - 将Elasticsearch Bool查询与范围提升相结合

©2024 IT工具网  联系我们