С помощью стека ELK (Elasticsearch-Logstash-Kibana) я собираю журналы системного журнала из * nix-блоков в Logstash и отправляю их в Kibana через Elasticsearch. Это классический сценарий.Комбинируйте журналы и запрос в ELK
Мой журнал системного журнала включает в себя обычные системные события, кальмаров журнал доступа, captiveportal журналы входа и т.д. captiveportal регистрируется как
1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first
и
кальмаров журналы доступа регистрируются как:
1423562965.228 482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml
В Logstash я отфильтровал запись в журнале портала, и у меня есть client_ip="192.168.1.23", user_name="mike.brown", а также в разных фильтр в конфигурации Logstash. Я также просмотрел журнал доступа к squid, и у меня есть src_ip="192.168.1.23".
Мой вопрос: Как я могу запросить, чтобы получить имя_пользователя, где client_ip журнала доступа к squid равняется src_ip из невольного портала в Кибане?
Является ли эта слабость поиска elastics? Я так думаю, и странно, что у вас есть данные, но вы не можете его запросить. Благодарю. – hakansel05
Я думаю об этом как о хранилище документов, а не о базе данных. Вы виноваты, что велосипед за то, что не смог испечь хлеб? –
Не могли бы вы расширить ответ еще немного? Для меня это важно (http://stackoverflow.com/questions/33549171/correlate-messages-in-elk-by-field) – AMS