Kibana Query Language
查詢語言,用在Kibana分析數據
Basic Structure
基本結構為field:value,像是
event.code:4625
就是查詢Windows event logs為4625的事件
Free Text Search
KQL支援自由文字搜尋,直接在多個欄位搜尋特定名稱
如果查詢
svc-sql1
就會回傳所有包含svc-sql1的紀錄
Logical Operators
KQL支援邏輯運算子,AND,OR,NOT,像是
event.code:4625 AND winlog.event_data.SubStatus:0xC0000072
就會查詢Windows event logs為4624且SubStatus為0xC0000072的事件
Comparison Operators
利用比較運算子過濾條件
event.code:4625 AND winlog.event_data.SubStatus:0xC0000072 AND @timestamp >= **2023-03-03T00:00:00.000Z** AND @timestamp <= **2023-03-06T23:59:59.999Z**
就是在2023/3/3~2023/3/6之間的4625事件
Wildcards and Regular Expressions
可以用*以及正則表達式配合搜尋