Logstash系列之--实战演练

已于 2023-11-27 15:15:18 修改
阅读量921 收藏 2
点赞数 1
分类专栏: ELK 文章标签: logstash
于 2020-03-27 15:28:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37911384/article/details/105142573
版权

Logstash系列之--实战演练

实现如下功能,以此熟悉一些logstash的语法:

**1、接收本机514端口udp数据**
​
**2、只接收指定IP发过来的日志**
​
**3、过滤出现“色情”词语的日志**
​
**4、日志正则匹配抓取字段**
​
**5、解析sourceIp经纬度、国家省份城市**
​
**6、输出保存到Elasticsearch**
​
​

首先我们看看配置文件的结构:

input {
  ...    #输入
}
•
filter {
  ...   #数据处理转换
}
•
output {
  ...   #输出
}

下面我们开始实现以上功能:

测试syslong格式:

<13>Jan 13 16:09:47 localhost 1578902986 2020/01/13 Mon 16:09:46 ipt_log=ACCEPT IN=vEth0 OUT=enp2s0 MAC=82:4b:ad:48:b6:0e:00:10:f3:71:9b:93:08:00 SRC=172.16.7.170 DST=192.168.0.100 LEN=124 TOS=0x00 PREC=0x00 TTL=122 ID=17313 PROTO=UDP SPT=51424 DPT=54218 LEN=104"|nc -u 172.16.110.243 514

1、接收514端口的udp数据

input {
    udp {
        port => "514"
    }
​
}

2、只接收指定IP发过来的日志

​
filter {
    #过滤指定IP,如果上报IP在数组中,则丢弃
    if [host] in ["172.16.110.55","10.53.187.101"]{
        drop {}   
    }
​
}

3、过滤出现“色情”词语的日志

​
filter {  
    #关键字过滤,日志中出现色情和傻逼的都丢弃
    if[message]=~"色情|傻逼"{
        drop{}
     }
}

4、日志正则匹配抓取字段

Grok 正则捕获

filter {
     #抓取了日志中的时间、事件名称、IP和协议等字段
     grok {
        match => {
            "message" => ".*\>(?<logtime>.*)\slocalhost.*IN=(?<eventName>.*)\sOUT.*SRC=(?<sourceIp>.*)\sDST=(?<destIp>.*)\sLEN.*PROTO=(?<appproto>\w+)\sSPT=(?<sourcePort>\d+)\sDPT=(?<destPort>\d+)\s.*"
        }
    }
​
}
output {
  ...   #输出
}

5、解析sourceIp经纬度、国家省份城市(使用geoip插件)

filter{
    #地理位置
    geoip {
            source => "sourceIp"
            #用《find  / -name 名字》查找mmdb文件在linux的为止
            database => "/../../GeoLite2-City.mmdb"   
            add_field => ["src_country" , "%{[geoip][country_name]}"]
            add_field => ["src_province" , "%{[geoip][region_name]}"]
            add_field => ["src_city" , "%{[geoip][city_name]}"]
            add_field => ["src_latitude" , "%{[geoip][latitude]}"]
            add_field => ["src_longitude" , "%{[geoip][longitude]}"]
           }
}

6、输出保存到Elasticsearch

output {
   elasticsearch {
        hosts => "10.10.110.110"
        index => "syslog_%{+YYYYMMdd}"
    }
​
}

完整配置文件:

input {
    udp {
        port => "514"
    }
​
}
filter {
    #过滤指定IP,如果上报IP在数组中,则丢弃
    if [host] in ["172.16.110.55","10.53.187.101"]{
        drop {}   
    }
    
    #关键字过滤,日志中出现色情和傻逼的都丢弃
    if[message]=~"色情|傻逼"{
        drop{}
     }
     
     
     #抓取了日志中的时间、事件名称、IP和协议等字段
     grok {
        match => {
            "message" => ".*\>(?<logtime>.*)\slocalhost.*IN=(?<eventName>.*)\sOUT.*SRC=(?<sourceIp>.*)\sDST=(?<destIp>.*)\sLEN.*PROTO=(?<appproto>\w+)\sSPT=(?<sourcePort>\d+)\sDPT=(?<destPort>\d+)\s.*"
        }
    }
    
    #地理位置
    geoip {
            source => "sourceIp"
            #用《find  / -name 名字》查找mmdb文件在linux的为止
            database => "/../../GeoLite2-City.mmdb"   
            add_field => ["src_country" , "%{[geoip][country_name]}"]
            add_field => ["src_province" , "%{[geoip][region_name]}"]
            add_field => ["src_city" , "%{[geoip][city_name]}"]
            add_field => ["src_latitude" , "%{[geoip][latitude]}"]
            add_field => ["src_longitude" , "%{[geoip][longitude]}"]
           }
​
}
output {
    elasticsearch {
        hosts => "10.10.110.110"
        index => "syslog_%{+YYYYMMdd}"
    }
}

启动运行:

bin/logstash -f syslog.conf --config.reload.automatic

如果想删除某些字段

 {
    mutate {
         remove_field => ["src_longitude","appproto"]
   }
 }

说明:

上面用的这些都是很基础的,logstash还有很多各种各样的插件,想学好要去官网慢慢看!

掌心里的海-Canace
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019-03-16笔记—日志管理
ai_benwoniu的博客
03-16 508
系统日志 常见的日志文件: 日志文件 说明 /var/log/message 记录Linux系统的绝大多数重要信息,如果系统出现问题,首先要检查的应该就是这个日志文件 /var/log/secure 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录,比如系统的登录、ftp的登录、ssh的登录、su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件...
Rsyslog-跨网络的日志管理服务
Lcongming的博客
05-31 1867
实验目的:跨网络的日志管理服务-将所有主机日志跨网络传送给一台主机 实验之前要先确认主机是否有安装rsyslog软件。centos7和8默认有安装的,执行rpm -qi rsyslog查看 准备三台主机 10.0.0.7和10.0.0.8生成日志 10.0.0.18接收存放日志 第一步:.在18上,打开接受日志的端口——默认是514端口 (说明:514端口由一个模块提供。在rsyslog里由 udp和tcp网络传输模块提供) 打开配置文件 [root@Centos8 ~]#vim /etc/rsy
syslog远程日志存储/514端口
m0_63072135的博客
01-10 1600
syslog远程日志存储/514端口
Logstash使用指南_logstash输出自定义,2024年最新附项目源码
最新发布
2401_84170522的博客
04-17 656
在这里,我们将group_id设置为“my_group”,auto_offset_reset设置为“earliest”,这意味着如果从Kafka中没有找到之前的消费记录,将从最早的消息开始消费。在上面的示例中,我们首先获取Logger对象,然后获取LoggerContext对象,通过LoggerContext获取Configuration对象,再通过Configuration获取Logstash的Appender对象和Layout对象。建议在生产环境中进行充分的测试和调整,以确保配置的正确性和效果。
Logstash:实用 Logstash 收集 Syslog 日志指南
热门推荐
Elastic 中国社区官方博客
02-09 1万+
Syslog 是一种流行的标准,用于集中和格式化网络设备生成的日志数据。 它提供了一种生成和收集日志信息的标准化方式,例如程序错误、通知、警告、状态消息等。 几乎所有类 Unix 操作系统,例如基于 Linux 或 BSD 内核的操作系统,都使用负责收集和存储日志信息的 Syslog 守护进程。 它们通常存储在本地,但如果管理员希望能够从一个位置访问所有日志,它们也可以流式传输到中央服务器。 默认情况下,端口 514 和 UDP 用于传输 Syslog。在我之前的文章 “Beats:使用 Linux 系统
Logstash系列之--基础知识
m0_37911384的博客
03-26 1279
Logstash系列之--基础知识: 区段 Logstash 用 {} 来定义区域,区域内可以包括插件区域定义,你可以在一个区域内定义多个插件 input { stdin {} udp { port=>514 } } 数据类型 Logstash 支持少量的数据值类型: bool debug => true str...
k8s 实战案例详解手册
03-17
7. **实战案例**:手册中可能涵盖了各种真实场景的应用,如微服务架构下的服务发现、滚动更新、蓝绿部署、故障恢复演练、资源调度优化等。这些案例旨在帮助读者在实际工作中解决常见问题,提升k8s的使用技能。 通过...
elk-lessons
03-28
10. **实战演练**:理论知识结合实际案例,通过模拟日志收集、数据处理和可视化,加深对ELK Stack的理解,提升问题解决能力。 "elk-lessons-master"这个文件名暗示了这是一个完整的教程项目,可能包含了配置文件...
ELK实战教程.zip
02-26
本教程将带你深入理解和掌握ELK的各项功能,通过实战演练,提升你在日志管理领域的技能。 1. **ELK简介** ELK由三个核心组件构成:Elasticsearch是分布式搜索和分析引擎,负责存储和索引数据;Logstash是数据收集...
elasticsearch实战源码 (黄申译)
03-29
3. **实战演练** - **创建索引**:通过脚本创建索引,定义映射(mapping),设置分词器和其他配置。 - **数据索引**:将数据以JSON格式发送到Elasticsearch,脚本可以处理批量索引任务。 - **搜索查询**:使用...
搞定大数据平台:从入门到实战
06-12
6. **实战演练**:理论结合实践是学习大数据的关键。课程可能会设计实际案例,如日志分析、推荐系统、用户行为预测等,让学员亲手操作,增强对大数据处理流程的理解。 每个文件名如“搞定大数据平台_从入门到实战-...
Linux下判断远程主机是否开放udp端口
yyjacn的专栏
10-24 6980
使用nc命令(本例是判断远程主机是否开放syslog服务的udp 514端口) [root@localhost etc]# nc -vuz 172.24.2.118 514 Ncat: Version 7.50 ( https://nmap.org/ncat ) Ncat: Connected to 172.24.2.118:514. Ncat: UDP packet sent successfu...
Logstash 讲解与实战应用
璃鹿的博客
06-19 1336
转载于:https://blog.51cto.com/tchuairen/1840596 目录 一、Logstash 介绍 二、安装logstash 三、使用命令行运行一个简单的logstash程序 四、配置语法讲解 五、filebeat基本讲解 六、实战运用 架构一:nginx日志->filebeat->logstash->redis->logstash-...
网络安全工程师必知的75个网络端口(非常详细)从零基础入门到精通,看完这一篇就够了_常用端口(1)
04-12 1154
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。(都打包成一块的了,不能一一展开,总共300多集)因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
logstash(一):搭建syslog测试环境
甘焕的博客
08-05 6336
首先创建logstash配置文件(命名为syslog.conf),专门用于解析syslog日志,如下:# 监听514端口 input { syslog { port => "514" } } # 输出到控制台 output { stdout { codec => rubydebug } }第二步,停止本机的rsyslog(sys
linux服务器关闭514端口的服务,Linux服务器安全配置关闭无用端口
weixin_39945475的博客
04-28 854
如今许多中小用户因业务生长,不时更新或晋级网络,从而造本钱身用户环境差异较大,整个网络系统平台参差不齐,服务器端大多采用 Linux系统的,而PC端运用Windows系统。所以在企业运用中往往是Linux/Unix和Windows操作系统共存构成异构网络。中小企业由于缺少体会丰厚的Linux网络维护员和安全产品推销资金,所以关于网络安全经常缺乏缺乏周到的思索。笔者将从服务器安全和网络装备的安全等来...
大数据运维实战第十七课 日志收集、分析过滤工具 Logstash应用实战
fegus的博客
08-19 1249
Logstash 是一款轻量级的、开源的日志收集处理框架,它可以方便地把分散的、多样化的日志搜集起来,并进行自定义过滤分析处理,然后传输到指定的位置,比如某个服务器或者文件。Logstash 的理念很简单,从功能上来讲,它只做 3 件事情:input,数据收集;filter,数据加工,比如过滤、修改等;output,数据输出。由此可知,Logstash 实现的功能主要分为接收数据、解析过滤并转换数据、输出数据。
syslog远程日志存储/514端口【转】
weixin_34228617的博客
09-13 4868
昨天在抓包的时候,发现在514端口,有SYSLOG字段的东西,不知道是用来干啥的,现在来分析一下; 其实他是在电脑间用了syslog远程日志存储,他用udp监控了514端口的数据流,之后收集整理日志;具体实现方法如下: 原文地址:http://blog.csdn.net/hxh129/article/details/8061196 syslog远程日志存储/514端口 标签: 存储apach...
logstash安装 logstash-input-kubernetes
05-09
安装 logstash-input-kubernetes 插件需要以下步骤: 1. 在 Logstash 安装目录下的 Gemfile 文件中添加插件依赖,具体命令如下: ``` echo 'gem "logstash-input-kubernetes"' >> Gemfile ``` 2. 运行以下命令安装插件: ``` bin/logstash-plugin install --no-verify ``` 3. 修改 Logstash 的配置文件,添加 logstash-input-kubernetes 插件的相关配置,例如: ``` input { kubernetes { namespace => "my-namespace" labels => { env => "prod" } } } ``` 4. 启动 Logstash,插件即可开始接收 Kubernetes 集群的日志数据。 需要注意的是,在安装 logstash-input-kubernetes 插件之前,需要先安装并配置好 Kubernetes 集群。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值