Pattern de recherche problematique

[Gregs Gregs]

Bonjour,

Je rencontre une difficulté dans une recherche je que cherche a lancer.
Pour vous situer j'utilise elastic pour effectuer des recherches sur les logs apache et je voudrais lancer une requete de controle me permettant de remonter des resultats lorsqu'un utilisateur essaye de me passer des caractere non souhaité dans l'url.
Et c'est la que mon problème arrive, je souhaite réaliser des recherche sur une pattern du style: ../..   , un grand classique.
Malheureusement ma requête ne me retourne pas de résultat, alors qu'il y a bien une entrée ce type dans mes logs, j'ai fais un http://monsite.com?dummy=../../etc/passwd, de ce que j'en lis c'est l'analyseur/tokenizer qui me poserait probleme, et en l'etat je ne vois pas comment réussir a faire remonter des résultats sur ce type de pattern.
Donc si quelqu'un a un peu plus de recul sur ce genre de problèmes, tous les avis pourrait m’être utile

J'utilise les dernières version de elastic/logstash,
Elasticsearcg la 1.4.4
kibana 3

Cordialement.

[Jérôme Mainaud]

Bonjour,

Effectivement, ta demande est complexe et tu va devoir réfléchir intensément sur l'analyse.

Le peu que tu expliques de ton besoin est complexe et je ne vois pas immédiatement quels analyseurs utiliser.

Tu va avoir besoin de mettre à plat les requêtes que tu veux faire et choisir la combinaison de tokenizers et filtres qui permettent de le résoudre.

Dans ton cas, il faut éventuellement effectuer un traitement lors de l'indexation pour extraire des patterns connus ou pour préparer les données à indexer pour faciliter le travail des analyseurs.

Bref, il y a du boulot, mais il doit y avoir moyen de faire des choses.

Bon courage.

--
Jérôme Mainaud
jer...@mainaud.com

--
--
---
Vous pouvez également poster et consulter les réponses en anglais sur le groupe Elasticsearch https://groups.google.com/group/elasticsearch
 
Si vous avez également posté votre question sur la mailing list elasti...@googlegroups.com, merci d'indiquer ici le lien vers cette discussion pour faciliter le suivi.
 
Twitter : @ElasticsearchFR https://twitter.com/#!/ElasticsearchFR
Site web (English) : http://www.elasticsearch.org/
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "Elasticsearch FR".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse elasticsearch-...@googlegroups.com.
Pour envoyer un message à ce groupe, envoyez un e-mail à l'adresse elastics...@googlegroups.com.
Visitez ce groupe à l'adresse http://groups.google.com/group/elasticsearch-fr.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/elasticsearch-fr/449df9d2-b808-4672-b3e9-e4cb30ab82fa%40googlegroups.com.
Pour obtenir davantage d'options, consultez la page https://groups.google.com/d/optout.

[Gregs Gregs]

Bonjour,

J'ai plus ou moins trouvé comment faire, maintenant j'ai plus un probleme au niveau de l'industrialisation de la solution.

ElasticSearch est semantique par defaut, grace a kopf et quelques requete bien senties, trouvé que le tokenizer Whistespace, qui split le text sur les espaces plutôt qu'une abstraction plus evolué, elasticsearch me renvoie bien mes résultats, par contre là je bloque sur la mise en place dudit tokenizer sur mes entrees.

En clair, comment faire pour que elasticsearch utilise un tokenizer en particulier lors de l'insertion de donnees par logstash

Sachant que je repose sur: ElasticSearch Logstash Redis Kibana

Cordialement.

[David Pilato]

Il faut définir un analyzer au niveau de l'index, puis l'utiliser dans le mapping.

http://www.elastic.co/guide/en/elasticsearch/guide/current/mapping-intro.html#_analyzer

David

Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/elasticsearch-fr/3ade1a2f-b1f0-45df-ba49-9afceb485869%40googlegroups.com.