ELK查询和汇总

查询表明细：

ELK的KQL样例，显示时间请选择最近15天：

 样例1：查询ol_lc 表增删改查，不是jy2_rw的账号明细
 KQL：（ol_lc or oc.ol_lc) and (select or update or delete or insert or replace) and not User.keyword=jy2_rw

 样例2：查询ol_lc表，不是ems_rw账号只读的SQL执行时间在2月24号的明细
 KQL： （ol_lc or oc.ol_lc) and select and not User.keyword=ems_rw and Timestamp.keyword <="2021-02-24 23:59:59" and Timestamp.keyword >="2021-02-24 00:00:00"

样例3，查询ol_lc表，oc写主库d8t的edu_rw账号明细

KQL： （ol_lc or oc.ol_lc) and edu_rw and d8t

KQL建议：

只读： (表  or oc.表） and  select  （可以过滤 show columns from 表）

写：  (表  or oc.表） and  (update or delete or replace or insert)

读写： (表  or oc.表） and  (update or delete or select or replace or insert)

说明： 如不加上 oc.表, 如查ol_lc： SQL中有oc.ol_lc是查不出来的，切记。

KQL官网帮助文档： https://www.elastic.co/guide/en/kibana/current/kuery-query.html#kuery-query

汇总表

表在各实例的账号调用情况，方法如下：

ELK--Visualize–创建可视化–选择"数据表",如下图：
 

选择"数据源": logstash-myaudit*，跳动聚合分析页面。

在右边选择下列，对聚合的字段汇总计数：

其中：

数据Tab:

1，指标，选择"计数"

2，存储桶，

执行“添加”–“拆分行”: 子聚合：选择“词”  字段：选择“user.keyword”  排序依据：选择“计数”，降序：大小改成：10000（或更大），定制标签：填写：用户

执行“添加”–“拆分行”: 子聚合：选择“词”  字段：选择“Name.keyword”  排序依据：选择“计数”，降序：大小改成：10000（或更大），定制标签：填写：名称

 选项Tab：
     每页最大行数改成： 10000（或更大）

百分比列改成：计数   (如需做百分比分析）

输入KQL如：ttachment and select，显示日期：选择最近15天, 表在各实例账号调用情况，能快速出来：

KQL可以根据实际情况灵活使用，如果不想查以前，在KQL里加上时间限制。
 

该结果，能通过点击“原始”或者"格式化"导出csv，根据列表提供的实例名找到对应具体数据库实例。

   相关文档：

       用ELK分析每天4亿多条腾讯云MySQL审计日志(1)--解决过程

用ELK分析每天4亿多条腾讯云MySQL审计日志(2)--EQL

用ELK分析每天4亿多条腾讯云MySQL审计日志(3)--下载日志

       用ELK分析每天4亿多条腾讯云MySQL审计日志(4)--MySQL全文索引