监控目标

本文基于鸿鹄2.10.0版本。

●监控奇安信日志类型分布
●监控奇安信攻击行为、分析攻击类型
●监控奇安信攻击来源情况

操作步骤

数据导入

1、创建数据集，如使用已经存在的数据集，可跳过此步骤

数据集名称：qax_syslog（仪表板中使用的名称，如更改为其他，需要在导入仪表板后调整SQL语句中的数据集）

2、创建数据源类型，如使用已经存在的数据集，可跳过此步骤

数据源类型：qax_syslog

TIPs:数据源类型用于对具有统一类型属性的数据进行集合处理。鸿鹄提供了多种内置的数据源类型，例如syslog, json, csv等。如果您的数据处理需要配置自定义的字段抽取规则，建议先创建新的数据源类型，再将字段抽取规则绑定到相应的数据源类型。

3、配置vector.toml。vector安装参考[vector安装]（https://vector.dev/docs/setup/quickstart/#install-vector）

._datatype = "qax_syslog" 数据源类型名称

._target_table = "qax_syslog" 数据集名称

address = "172.16.1.5:20000"

字段抽取

字段抽取这里用到的就是读时建模。数据以原始数据进入鸿鹄鸿鹄平台，在需要分析时，进行数据建模。

日志分析

在字段抽取前，我们需要先查看下原始日志，对其进行分析

通过查询可以看到原始日志格式如下

对其进行分析发现日志由两个部分组成，那么我们需要先通过正则将两个部分分开，再对第一部分采用正则抽取，第二部分采用json抽取。

第一部分

第二部分

TIPS：如何验证json格式，可以在线网站验证[Json在线验证]（https://www.bejson.com/explore/index_new/）

字段抽取

抽取新字段

选择目标数据类型，选择样例事件

新建抽取规则>编辑正则表达式

可以看到我们将两部分日志分离，第二部分为json_content

继续新建抽取规则>选中json_content>选择JSON抽取

预览并保存，完成抽取

仪表板

导入奇安信仪表板。新建仪表板>选择仪表板配置文件>确定

奇安信日志分为3类，webids-ids_dolog、alarm、webids-webattack_dolog，这里使用了钻取，点击奇安信日志类型分布，下面的所有图表会根据日志类型自动适配。

效果如下：

奇安信仪表板.json(12 kB)

（具体文档请加入鸿鹄技术交流群，至知识库中获取）