Entrar filtros alijo

votos
0

Necesito una ayuda para la escritura de los filtros para logstash. Mi logstash está configurado para leer syslog.

El mensaje de registro es el siguiente,

Mar 14 15:11:11 localhost 192.168.235.136 {'status': 'True', 'endpoint': '/search/basic/', 'parameters': <QueryDict: {u'fileName': [u'Adware']}>, 'company': u'Global first', 'matched threat scape': [u'Enterprise IT Management and Investment'], 'request id': 11, 'user id': 2L, 'user': u' ', 'matched report id': [u'Intel-732102']}

Yo quería tener filtros en Kibana, basado en las teclas JSON que estoy pasando en el mensaje a logstash.

No soy capaz de escribir los filtros para obtener los parámetros a partir de los registros de mi. También he intentado http://grokdebug.herokuapp.com/ para generar el filtro. Me dio la pauta de que no estoy seguro de cómo usarlo.

{%{QS:'status'}: %{QS}, %{QS}: %{QS}, %{QS}: <QueryDict: {u%{QS}: %{SYSLOG5424SD}}>, %{QS}: u%{QS}, %{QS}: %{SYSLOG5424SD}, %{QS}: 11, %{QS}: 2L, %{QS}: u' ', 'matched report id': %{SYSLOG5424SD}}
Publicado el 16/03/2014 a las 05:36
fuente por usuario
En otros idiomas...                            


1 respuestas

votos
1

Para la entrada de registro:

Mar 14 15:11:11 localhost 192.168.235.136 { 'status': 'True', 'punto final': '/ Búsqueda / básico /'}

Patrón es grok

%{CISCOTIMESTAMP:JsonTimestamp} localhost %{IP:JsonIP} {'status': '%{WORD:JsonStatus}', 'endpoint': '%{UNIXPATH:JsonPath}'}

Por favor, seguir el enfoque patrón similar para el resto de los campos. Puede encontrar las referencias a:

https://github.com/elasticsearch/logstash/blob/master/patterns/grok-patterns

Por favor, puesto qué campos se siente dificultad para aplicar el patrón grok, junto con los siguientes datos:

i) ¿Qué campos están variando y cuales son constantes.

En el ejemplo anterior se indexarán JsonTimestamp, JsonIP, JsonStatus y JsonPath.

A continuación trabajando patrón grok completo para ejemplo anterior:

%{CISCOTIMESTAMP} localhost %{IP} {%{QS}: %{QS}, %{QS}: %{QS}, %{QS}: <QueryDict: {u%{QS}: %{SYSLOG5424SD}}>, %{QS}: u%{QS}, %{QS}: %{SYSLOG5424SD:matched_threat_scape}, %{QS}: %{NUMBER:request_id}, %{QS}: %{NUMBER:user_id}L, %{QS}: %{WORD:user}%{QS}, %{QS}: %{SYSLOG5424SD:matched_report_id}

cambios modificados son% {NÚMERO: REQUEST_ID},% {NÚMERO: user_id} L,% {PALABRA: user},% {SYSLOG5424SD: matched_report_id} desde el 11 y 2L no están entre comillas y representan números, utilizar el número para identificar numérica tokens, el usuario se representa como contador WORD

Respondida el 18/03/2014 a las 07:15
fuente por usuario

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more