前面，我們已經在ubuntu服務器上部署好了tpot，並啟動進行數據捕獲

可以通過64297端口登陸到kibana可視化平臺查看捕獲到攻擊的情況。

現在要拉取攻擊數據了，但是該怎麽拉呢？

看了一上午的文檔，發現文檔中並沒有提到如何從elastic search中拉取數據：https://dtag-dev-sec.github.io/mediator/feature/2016/10/31/t-pot-16.10.html

於是只能自己探索了，考慮了兩個方案：

方案一：
kibana提供了可視化的查詢數據的界面，我們可以做一個爬蟲，登陸kibana界面後爬取數據。但是這樣有點復雜，而且多了一層kibana，效率還會低一些。

方案二：

直接找到tpot中的elastic search的數據接口。但是這個數據接口該怎麽找呢？官方文檔中又沒有說

登陸到部署tpot的服務器

先top看一下，沒有看出什麽東西來

然後又find / -name elasticsearch.yml，找到了幾個elastic search的配置文件，但是為什麽會有好幾個elastic search配置文件呢？

打開其中一個看了一下：

看到了數據存儲在/data/elk/data中，cd到裏面看了一下，發現是elastic search的存儲格式，無法直接使用

然後想到了通過9200端口來找

於是在tpot服務器上執行以下操作：

netstat -nap | grep 9200

發現了好幾個占用9200的進程，並且給出了這些進程的ip和端口號

既然部署在本機上，那就先試試127.0.0.1:9200吧！

curl 127.0.0.1:9200

發現確實是els的端口！

然後很高興的去查數據

結果error？為什麽

調了一下tpot服務器上的集群信息看了一眼

又調了kibana上的集群信息看了一眼

不是一個集群？？

然後反應過來了——tpot利用docker技術啟動了多個elastic search集群

那正確的數據集群在哪呢？

於是想到了剛才netstat命令看到的那些ip，其中有172.21.0.2:9200，試了一下，果然是這個！

總結：tpot中的elastic search攻擊數據集群的端口可以通過netstat命令查看，默認為172.21.0.2:9200

（屬於本地局域網，僅能通過本機訪問，如果要從外網訪問還要更多的設置，設置文件可以通過find查找）

tpot從elastic search拉攻擊數據