У меня есть стек лосей, используемый с Cyberoam, и я хочу, чтобы разобрать это сообщение с logstash вы можете помочь мне, пожалуйста:Как разобрать захваченные данные с помощью logstash?
"<30>date=2017-02-19 time=21:59:15 timezone=\"IST\" device_name=\"CR200iNG\" device_id=C20313272882-BQ2EUG log_id=010302602002 log_type=\"Firewall\" log_component=\"Appliance Access\" log_subtype=\"Denied\" status=\"Deny\" priority=Information duration=0 fw_rule_id=0 user_name=\"\" user_gp=\"\" iap=0 ips_policy_id=0 appfilter_policy_id=0 application=\"\" application_risk=0 application_technology=\"\" application_category=\"\" in_interface=\"PortF\" out_interface=\"\" src_mac=dd:dd:dd:02:1c:e4 src_ip=192.168.200.9 src_country_code= dst_ip=255.255.255.255 dst_country_code= protocol=\"UDP\" src_port=32771 dst_port=7423 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=\"\" srczone=\"\" dstzonetype=\"\" dstzone=\"\" dir_disp=\"\" connid=\"\" vconnid=\"\"",
Чтобы было ясно:
date=2017-02-19
time=21:59:15
timezone=\"IST\"
device_name=\"CR200iNG\"
device_id=C20313272882-BQ2EUG
log_id=010302602002
log_type=\"Firewall\"
log_component=\"Appliance Access\"
log_subtype=\"Denied\"
status=\"Deny\" priority=Information duration=0
fw_rule_id=0
user_name=\"\"
user_gp=\"\"
iap=0
ips_policy_id=0
appfilter_policy_id=0
application=\"\"
application_risk=0
application_technology=\"\"
application_category=\"\"
in_interface=\"PortF\"
out_interface=\"\"
src_mac=c4:04:15:02:1c:e4
src_ip=192.168.200.9
src_country_code=
dst_ip=255.255.255.255
dst_country_code=
protocol=\"UDP\"
src_port=32771
dst_port=7423
sent_pkts=0
recv_pkts=0
sent_bytes=0
recv_bytes=0
tran_src_ip=
tran_src_port=0
tran_dst_ip=
tran_dst_port=0
srczonetype=\"\"
srczone=\"\"
dstzonetype=\"\"
dstzone=\"\"
dir_disp=\"\"
connid=\"\"
vconnid=\"\""
,
и можете ли вы любезно рассказать мне, как разбирать захваченные пакеты, используя logstash, потому что в cyberoam есть возможность захватить пакеты в сети, и я отправил эти данные в logstash, но logstash i ы не показывает данные в kibana
приветы
Я использую следующие: кВ { источник => «syslog_message» } мутировать { заменить => [ «тип», " % {syslog_program} "] remove_field => [" syslog_message "," syslog_timestamp "] gsub => ['message', '=', '=" "'] } – user136591