来自 资讯 2022-06-11 10:20 的文章

ddos清洗_抗ddos防火墙_新用户优惠

ddos清洗_抗ddos防火墙_新用户优惠

Corero针对Splunk Enterprise的DDoS分析应用程序利用Splunk软件进行大数据分析和可视化功能,将安全事件数据转换为复杂的仪表盘。对于那些使用Splunk的人,本博客将介绍该应用程序的一些实际日常使用。在阅读下面显示的统计命令时,请记住,这些命令是在创建的示例数据上执行的,因为实际的Corero事件更为详细。

如何构造Splunk数据

使用Splunk时,显示数据或挖掘隐藏关联的关键是理解统计命令返回的结果,并塑造这些结果以满足您的需求。例如,下面的图1是一些数据包数据的Splunk仪表板。数据由15个事件组成。根据stats命令的使用方式,可以可视化相同数据的不同视图。

只需统计事件:stats count这将对事件进行计数,ddos防御云服务器,并给出一行一列15的答案。

stats命令可以统计事件中某个字段的出现次数。要对事件进行计数,请使用dip(目标IP)字段对事件进行计数,并使用dprt(目标端口)字段对事件进行计数:统计计数(dip)计数(dprt)请注意,计数(dprt)少了一个,这是因为其中一个事件没有dprt字段(它是ICMP数据包)。所有计数都显示在同一行上,这在将来的操作和比较数据时非常重要。

stats命令还允许按字段计数,完成此操作后,将为该字段的每个不同值创建一行。要计算每个dip的事件数:统计按dip计数数据集中有四个不同的IP地址,因此创建了四行。如果事件没有倾角场,高防cdn国际,则不会列出该事件。

可以使用多个by场,每个不同的组合将有一行。要计算每个dip和dprt组合:统计按dip dprt计数请注意,dip 3.3.3.3只有两个条目,https防御cc,在上例中有三个条目。这是因为其中一个事件是ICMP,没有dprt。不包含所有by字段的任何事件都不会显示。

图底行上的两个示例均为prot(协议)细分,并显示相同的数值结果。

使用by字段按协议统计事件(为每个不同的协议创建一行):按保护计数的统计数据|在保护中用icmp替换1,用tcp替换6,用udp替换17replace命令只是为了便于比较,linuxddos防御设置,不需要

使用条件计数按协议对事件进行计数(为列出的每个不同协议创建一列):stats count(eval(prot=1))作为icmp count(eval(prot=6))作为tcp count(eval(prot=17))作为udp

虽然两者都是"正确的",但在某些情况下,数据需要使用evals和其他命令进行操作,这只能在数据位于同一行时发生。

第二个示例使用条件计数;使用eval时,某些事件仅在eval中计数。此条件计数还必须伴随"as"命令来重命名创建的字段,因为这三个字段不能使用相同的count字段名。在本例中,使用了协议名称。虽然这有一些好处,但缺点是协议必须手动列出,这与使用"by"字段时不同。通过使用正确的stats命令,为进一步分析或查看准备数据变得容易多了。

十多年来,Corero一直在为世界各地的企业、主机和服务提供商客户提供最先进、高效的DDoS自动防护解决方案。我们的SmartWall®DDoS抵御解决方案可保护本地、云、虚拟和混合环境。如果您想了解更多信息,请与我们联系。

,ddos攻击防御研究内容