1. дома
  2. Вопрос и ответ
  3. Как разобрать захваченные данные с помощью logstash?

Как разобрать захваченные данные с помощью logstash?

2017-02-19 13 views
0

У меня есть стек лосей, используемый с Cyberoam, и я хочу, чтобы разобрать это сообщение с logstash вы можете помочь мне, пожалуйста:Как разобрать захваченные данные с помощью logstash?

"<30>date=2017-02-19 time=21:59:15 timezone=\"IST\" device_name=\"CR200iNG\" device_id=C20313272882-BQ2EUG log_id=010302602002 log_type=\"Firewall\" log_component=\"Appliance Access\" log_subtype=\"Denied\" status=\"Deny\" priority=Information duration=0 fw_rule_id=0 user_name=\"\" user_gp=\"\" iap=0 ips_policy_id=0 appfilter_policy_id=0 application=\"\" application_risk=0 application_technology=\"\" application_category=\"\" in_interface=\"PortF\" out_interface=\"\" src_mac=dd:dd:dd:02:1c:e4 src_ip=192.168.200.9 src_country_code= dst_ip=255.255.255.255 dst_country_code= protocol=\"UDP\" src_port=32771 dst_port=7423 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=\"\" srczone=\"\" dstzonetype=\"\" dstzone=\"\" dir_disp=\"\" connid=\"\" vconnid=\"\"",

Чтобы было ясно:

date=2017-02-19 
 
time=21:59:15 
 
timezone=\"IST\" 
 
device_name=\"CR200iNG\" 
 
device_id=C20313272882-BQ2EUG 
 
log_id=010302602002 
 
log_type=\"Firewall\" 
 
log_component=\"Appliance Access\" 
 
log_subtype=\"Denied\" 
 
status=\"Deny\" priority=Information duration=0 
 
fw_rule_id=0 
 
user_name=\"\" 
 
user_gp=\"\" 
 
iap=0 
 
ips_policy_id=0 
 
appfilter_policy_id=0 
 
application=\"\" 
 
application_risk=0 
 
application_technology=\"\" 
 
application_category=\"\" 
 
in_interface=\"PortF\" 
 
out_interface=\"\" 
 
src_mac=c4:04:15:02:1c:e4 
 
src_ip=192.168.200.9 
 
src_country_code= 
 
dst_ip=255.255.255.255 
 
dst_country_code= 
 
protocol=\"UDP\" 
 
src_port=32771 
 
dst_port=7423 
 
sent_pkts=0 
 
recv_pkts=0 
 
sent_bytes=0 
 
recv_bytes=0 
 
tran_src_ip= 
 
tran_src_port=0 
 
tran_dst_ip= 
 
tran_dst_port=0 
 
srczonetype=\"\" 
 
srczone=\"\" 
 
dstzonetype=\"\" 
 
dstzone=\"\" 
 
dir_disp=\"\" 
 
connid=\"\" 
 
vconnid=\"\"" 
 
,

и можете ли вы любезно рассказать мне, как разбирать захваченные пакеты, используя logstash, потому что в cyberoam есть возможность захватить пакеты в сети, и я отправил эти данные в logstash, но logstash i ы не показывает данные в kibana

приветы

источник

2017-02-19 user136591

ответ

1

Глядя на формат здесь, это выглядит как the kv filter является наиболее подходящим здесь.

filter { 
    kv { 
    source => "message" 
    add_tag => [ 'cyberoam' ] 
    } 
}

kv фильтр отделилась key1=value key2=value наборы в строку и превратить их в поля. Это кажется вам хорошим подспорьем. Ключи вы знаете, вы не хотите включать могут быть указаны с exclude_keys => [ 'key1', 'key2' ]

источник

2017-02-19 19:52:13 sysadmin1138

+0

Я использую следующие: кВ { источник => «syslog_message» } мутировать { заменить => [ «тип», " % {syslog_program} "] remove_field => [" syslog_message "," syslog_timestamp "] gsub => ['message', '=', '=" "'] } – user136591

Последний вопрос

 Смежные вопросы

  • Нет связанных вопросов^_^