使用Logstash接收Netflow日志并发送到syslog服务器

最新推荐文章于 2024-06-24 20:10:19 发布
最新推荐文章于 2024-06-24 20:10:19 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he37176427/article/details/106403046
版权

接受90端口的netflow日志,解析netflow中的源IP、端口、目的IP、端口,并输出syslog到任意端口  

netflow日志格式:

{
       "netflow" => {
          "last_switched" => "2020-05-28T02:39:13.781Z",
                 "dst_as" => 0,
               "in_bytes" => 183,
          "ipv4_src_addr" => "120.92.11.28", #源IP
               "protocol" => 6,
          "ipv4_next_hop" => "172.16.10.10",
             "input_snmp" => 1,
                "version" => 9,
             "flowset_id" => 265,
                 "src_as" => 0,
              "tcp_flags" => 24,
         "first_switched" => "2020-05-28T02:39:13.781Z",
           "flow_seq_num" => 2488,
            "l4_src_port" => 7823,    # 源端口
            "output_snmp" => 2,
              "direction" => 0,
                "in_pkts" => 1,
          "ipv4_dst_addr" => "192.168.80.15", #目的IP
               "src_mask" => 0,
               "dst_mask" => 16,
        "flow_sampler_id" => 0,
                "src_tos" => 0,
            "l4_dst_port" => 53367  #目的端口
    },
          "host" => "88.88.88.88",
    "@timestamp" => 2020-05-28T02:39:37.000Z,
      "@version" => "1"
}
详细字段说明: https://www.ibm.com/support/knowledgecenter/en/SSCVHB_1.2.2/collector/cnpi_collector_v9_fiels_types.html
安装syslog输出插件 bin/logstash-plugin install logstash-output-syslog

input {
  udp {
    port  => 90
    codec => netflow
  }
}
filter{
  mutate {
    rename => { "[netflow][ipv4_src_addr]" => "src_ip"
    "[netflow][l4_src_port]"=> "src_port"
    "[netflow][ipv4_dst_addr]"=>"dst_ip"
    "[netflow][l4_dst_port]"=>"dst_port"
    }
    remove_field => ["netflow"]
  }
}
output {
#  stdout{
#    codec => rubydebug
#  }
  syslog {
    host => "192.168.100.123" 
    port => 16060
 }
}

 

百事可乐_
关注
专栏目录
logstash配置syslog外发
奇怪的老司机
03-17 1809
需求:logstash收到的syslog日志发往elasticsearch和深信服日志审计设备。本以为直接写outside就可以解决问题,启动时报错,logstash默认情况下未安装logstash-output-syslog组件,需先安装此组件才能正确启动。syslog {facility => …host => …port => …severity => …}启动时有...
Logstash收集json格式日志文件如何写配置文件
chen
11-22 5086
1、日志格式 {"10190":0,"10071":0,"10191":0,"10070":0,"48":"136587","type":"136587","10018":0} 我们如果收集这个日志只是做简单的配置。如下: input { file { path => ["/home/elk/logstash-5.6.3/request"] ty
网络大数据分析 -- 使用 ElasticSearch + LogStash + Kibana 来可视化网络流量
IT乌托邦官方博客
05-27 1297
简介 ELK 套装包括 ElasticSearch、LogStash 和 Kibana。 其中,ElasticSearch 是一个数据搜索引擎(基于 Apache Lucene)+分布式 NoSQL 数据库;LogStash 是一个消息采集转换器,类似 Syslog,可以接收包括日志消息在内的多种数据格式,然后进行格式转换,发送给后端继续处理;Kibana 是一个 Web 前段,带有强大的数据分析、整理和可视化功能。 是不是听起来就觉得十分强大! 一般情况下,ELK 套装的工作流程为原始数据 -&g.
logstash-codec-netflow
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安装了 Bundler gem 的 JRuby。 从 GitHub 组织创建一个新插件或克隆并存在。 我们还提供。 安装依赖 bundle install 测试 更新
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_85599426的博客
06-24 560
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!message解析后得到的键值对数据。[外链图片转存中…(img-9GvDKst5-1719231007414)][外链图片转存中…(img-aGnbao1M-1719231007414)]
logstash-output-syslog
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安装了 Bundler gem 的 JRuby。 从 GitHub 组织创建一个新插件或克隆并存在。 我们还提供。 安装依赖 bundle install 测试 更新
Logstash配置输出Syslog
roughman9999的博客
06-05 1599
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力,可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地,通过安装不同的插件,可以支持不同的输出方式
Logstash收集Syslog日志
热门推荐
xuguokun1986的博客
05-17 1万+
1、rsyslog服务端配置 # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.ht
Logstash+syslog
gqdw
03-22 3791
Logstash + sysloglogstash-syslog.confinput { tcp { port => 5000 type => syslog } udp { port => 5000 type => syslog } }filter { if [type] == "syslog" { grok { match =
logstash接收多台服务器日志_Logstash实践: 分布式系统的日志监控
weixin_39913105的博客
12-22 1269
文/赵杰2015.11.041. 前言服务端日志你有多重视?我们没有日志日志,但基本不去控制需要输出的内容经常微调日志,只输出我们想看和有用的经常监控日志,一方面帮助日志微调,一方面及早发现程序的问题只做到第1点的,你可以洗洗去睡了。很多公司都有做到第2点和第3点,这些公司的服务端程序基本已经跑了很长时间了,已比较稳定,确实无需花太多时间去关注。如果一个新产品,在上线初期,我觉得就有必要做到第4...
logstash接收syslog并根据特定格式输出到文件
znice123的博客
09-27 916
收到syslog的一条信息格式如下: date=2020-09-24 time=10:39:36 devname=XX_WSZF_FG1 devid=FGT5HD3915804298 logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root" severity=high srcip=61.xxx.127.82 srccountry="China" dstip=xxx.xxx.xxx.148 srcintf="
使用logstash作为docker日志驱动收集日志
01-20
`logstash`服务运行Logstash主进程,`logstash-worker`服务则负责接收并处理日志。 在Logstash的配置文件`logstash.conf`中,定义了GELF输入插件和文件输出插件: ```ruby input { gelf { use_udp => true port...
使用ELK保存Syslog、Netflow日志和审计网络接口流量
lyace2010的博客
12-08 5348
简介 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。后来新增了一个Beats,它是一个轻量级的日志收集处理工具(Agent),Beats占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是开源的数据收集引擎。它
netflow报文格式与数据处理流程分析_洞察日志之美 云智慧全面升级智能日志分析平台...
weixin_39568706的博客
11-22 509
随着业务系统的日趋复杂化,日志显现出数量庞大、无固定模式、不易读懂等特点。日志数据是运维监控中主要的数据源,记录了从业务、中间件、系统等全链路信息,可以有效监控IT系统各个层面,从而快速诊断系统故障,洞察系统运行状况,对于开发、运维、测试和审计等各个环节工作都有非常重要的作用。日志数据,企业数据资产的一座金矿日志数据是系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志文件由日...
【系统审计】netflow学习笔记
没枕头我咋睡觉
12-04 670
1、什么是NetFlow NetFlow是由Cisco创造的一种流量轮廓监控技术,简单来说就是一种数据交换方式。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息,易于管理和易读。 2、NetFlow用途 利用Netflow技术可以监测网络上的IP Flow信息 IP Flow信息,可以回答用户的下面问题(5W1H): who:源IP地址 when:开始时间、结束时间 where:从哪:From(源IP,源端口)、到哪:To(目的IP,目的端口) wh...
netflow-module
weixin_30364147的博客
06-10 90
https://www.elastic.co/guide/en/logstash/current/netflow-module.html 转载于:https://www.cnblogs.com/diyunpeng/p/10996056.html
elasticsearch & elastiflow & logstash & Kibana 搭建开源 netflow 流量监控系统
taylorgogo
09-29 7255
elasticsearch & elastiflow & logstash & Kibana 搭建开源 netflow 流量监控系统 ################################################################ @官方安装文档 环境 ##### [ Ubuntu ] # lsb_release -a N...
NetFlow v5 流记录格式
雨中怡然
12-21 8490
 NetFlow v5 Record FormatThe following fields are recorded in the NetFlow-5 record type: Name Description Offset
netflow 数据格式
addseconder的专栏
09-26 3601
NetFlow数据格式 NetFlow以UDP数据报(datagram)的形式,采用下面两种格式的中的一种来输出信息流:“版本1”(version 1)的格式是最初发布的格式;“版本5”(version 5)格式是后来的一种加强格式,它增加了边界网关协议(BGP-Border Gateway Protocol)的AS信息和信息流的序列号。而版本2到版本4并没有发布。在版本1和版本5
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值