ELK收集天融信防火墙日志

已于 2023-09-19 13:37:33 修改
阅读量3k 收藏 8
点赞数 2
分类专栏: Linux 文章标签: elasticsearch elk 天融信
于 2021-09-16 18:20:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq461391728/article/details/120333498
版权

ELK收集天融信防火墙日志

以下操作建议在测试环境下执行

ELK安装同一台CentOS7服务器,IP 192.168.2.11

一、准备环境

已安装:elasticsearch,kibana,logstash

相关软件下载:Index of /elasticstack/yum/elastic-7.x/ | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror

二、开启syslog服务

在logstash配置中,新建syslog.conf配置文件,内容如下

vim cat /etc/logstash/conf.d/syslog.conf

input {
    syslog {
    type => "system-syslog"
    port => 514
    codec => plain{
       charset=>"GBK"
    }
  }
}

filter {
    if ([message] =~ "192.168.2.10") {
        drop {}
   }
}


output {
    elasticsearch {
     hosts => ["192.168.2.11:9200"]
     index => "syslog-192.168.2.1-%{+YYYY.MM}"
  }
# 调试使用
  stdout { codec => rubydebug }
}

说明:

input 中配置charset=>"GBK" 解决日志信息中文乱码问题

filter 中配置屏蔽日志信息中含有192.168.2.10的信息

三、配置天融信防墙日志设置

四、测试syslog服务

执行如下命令前需先停止logstash服务

systemctl stop logstash

/usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf --config.reload.automatic

有日志输出表示配置成功

五、配置kibana索引

访问kibana地址 http://192.168.1.11:5601

打攻人
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK日志收集系统完全实现
01-27
基于VMware实现 ElasticSearch集群+Logstash集群+Kibana+kafka集群+Filebeat 实现日志管理系统
防火墙日志的查询
weixin_34327761的博客
02-22 3563
1、增加日志服务器 打开集中管理器,选项管理/安全设备登录控制,增加日志服务器(日志服务器IP内网:202.96.100.186)。 2、修改安全设备调试级别 在安全设备选项/把安全设备调试级别设为4或5,级别太低,记录可能会很少,值可修改。(telnet 防火墙,可以用tcpdump -i eth2 udp port 514命令检查设置正确与否)   3、登录(审计...
elk】网络设备syslog日志收集
机智的埃努
11-15 5587
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
日志
cloudmagpi的博客
09-08 967
日志是什么: 日志主要的作用是记录程序运行的过程,通过日志方便观察程序的运行状况和运行过程,便于分析程序的执行过程,JDK自带一个日志,但是效果不太好,速度较慢,要写的代码较多 常见的日志工具 jdk-logging log4j :其中commons-logging是规范,log4j是commons-logging的实现 要实现log4j首先需要导入两个依赖:log4j和commons-logging <dependency> <groupId>log4j</g
数据库审计网络审计系统-日志外发配置手册.docx
06-22
网络\数据库审计系统提供审计日志、系统日志、报警日志的syslog、SNMP和邮件外发功能。
ELK日志管理深度实战
weixin_34143774的博客
01-04 219
Logstash收集Rsyslog/syslog日志syslog默认是通过514端口去发送日志,可以使用logstash安装对应的插件,监听514端口来收集日志。如果只是监听系统日志可以不用安装logstash的agent,只需要监听对应的514端口,收集系统数据即可。logstash在INPUT插件中提供了syslog的模块,可以用于不安装本地日志收集agent的设备(如硬...
ELK日志分析系统
最新发布
Besteady的博客
10-25 138
ELK是由 ElasticSearch、Logstash 和 Kiabana 三个开源工具所组成, 完成更强大的用户对日志的查询、排序、统计需求。
防火墙原理及部署方式(以天为例)
2302_78334155的博客
08-19 3910
可以看见中间丢失了一个数据包,就是在主机防火墙出错时,将数据备份给备机防火墙时丢失了一个数据包,但后续有能连接上了,说明备机防火墙发挥作用,此时时备机防火墙在发挥作用。DMZ ,一旦DMZ区域被敌人攻破,由于DMZ区域为隔离区域,不会进一步殃及破坏inside区域,所以设 置DMZ区域是为了保护inside区域。高级应用防火墙(NGFW防火墙/DPI防火墙)(目前主流防火墙)(2-5层, 2-7层)在inside区不断ping outside区,将从机防火墙连接上网络,主机防火墙断开网络。
ELK+grok+华为防火墙USG6500会话日志
XiaoMa_Ge2019的博客
05-08 4344
前言 作为一名网络工程师进程要分析网络设备、防火墙设备日志,网上大部分都是通过logstash进行收集syslog日志,但是没有对国产设备防火墙分析。本次项目采用centos 7.2操作系统,elk7.7版本。关于elk的安装本次不涉及。 处理流程 1、开启防火墙会话功能 2、elk在logstash配置文件配置grok插件; 3、kibana需要将索引重新加载一下,就能关心的防火墙5元组重要息(源端口、源IP、目的端口、目的ip等); 详细部署 1、重点grok如何分析防火墙日志; 示例:有了语法和语
防火墙使用,日志
sun007700的专栏
02-25 2534
https://www.cnblogs.com/wwtao/p/12074870.html 如果想要外网访问需要在内网的防火墙上面映射一下 打开防火墙 添加ip地址 添加端口服务,外网的端口,自定义,但是,不能是80,没有备案的80没有作用 映射外网端口到内网 外网访问内网叫目的转换 目的地址是客户访问的实际地址...
使用手册
06-13
防火墙使用
ELK:NOC ELK + FORTINET日志
05-10
ELK设置来监视Fortigate日志===============================================工具麋鹿[如何安装ELK泊坞窗]( ) 抵制配置Fortigate SysLog 第一步是配置Fortigates。 这是Syslog格式: config log syslogd setting ...
通过elk收集微服务模块日志.doc
09-27
作为代理安装在服务器上,filebeat监视指定的日志文件或位置,收集日志事件,并将它们转发给ElasticSearch或logstash进行索引。 2.Logstash:Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,...
ELK日志收集系统操作手册.docx
03-03
ELK日志收集系统操作手册,详细讲解了elk组件使用方式
Docker构建ELK Docker集群日志收集系统
09-30
为了在Docker集群中更好的管理查看日志 我们使用Docker 来搭建集群的ELK日志收集系统,这篇文章介绍了Docker构建ELK Docker集群日志收集系统的相关资料,需要的朋友可以参考下
防火墙配置上网_记录一次深防火墙替换天防火墙
weixin_39574868的博客
11-18 1174
背景:某卫健局网络改造,其中有一部分是内网天防火墙需要替换成深服的墙拓扑: 蓝色部分即为被替换的天防火墙现状:不同厂商之间异构化较为明显多数不能直接配置,需要提前理解天防火墙才能转换成深服墙的配置(此前接触过这样一个项目)思路:了解界面——了解天防火墙功能模块——打通网络——配置策略——细化策略——调试——验收步骤一:认识界面天的墙维护较少,页面比较老,功能相应也比较多,...
配置使用rsyslog+loganalyzer收集防火墙及交换机日志
weixin_33691817的博客
11-07 3028
1.目的背景 日志功能对于操作系统是相当重要的,在使用中,无论是系统还是应用等等,出了任何问题,我们首先想到的便是分析日志,查找问题原因。 自 CentOS 6 开始,我们的 CentOS 便开始使用 rsyslog 做为日志收集服务了,相对于之前的 syslog 它能够支持多线程,数据库存储,支持更多了传输协议等等优点。 而 LogAnalyzer 则...
虚拟企业防火墙学习
weixin_52125240的博客
05-06 3064
防火墙学习防火墙的基本概念防火墙基本功能防火墙产品及厂家 前言:因为学校老师的安排,需要从七个课题中挑选一个课题深入学习,我自己挑选了防火墙这个方面,并且和老师要来了一个天防火墙的虚拟机,自己就开始研究学习了 防火墙的基本概念 防火墙的定义:是一款具备安全防护功能网络设备 隔离网络:将需要保护的网络与不可任网络进行隔离,隐藏息并进行安全防护 防火墙的本职工作不是杀病毒和木马,是放行流量。需要依靠别的设备,放在公司总出口,做一个网络隔离。 和路由器的区别 路由器是隔离网段,路由器配好之后是全网
国仁猫哥:视频号个人与企业怎么认证;视频号认证后有哪些好处。
公众号:国仁猫哥
10-20 2755
目前,视频号认证分为个人认证和企业(机构)认证两大类。 01:视频号企业认证教程 企业和机构认证适合企业和机构申请。申请之前需要先用实名认证的个人微号注册,填写完成基本资料。 具体认证分为两种情况: 企业和机构认证适合企业和机构申请。申请之前需要先用实名认证的个人微号注册,填写完成基本资料。 具体认证分为两种情况: 情况一,已经有已认证的同名主体公众号 这种情况直接用该公众号(订阅号/服务号)来认证。所以你首先需要一个同名并且已经认证过的公众号。需要注意的是视频号名称最长为20个字符,即10个汉字,这
elk如何远程采集日志
05-24
要远程采集日志,需要在目标服务器上安装一个日志采集代理,如Logstash或Filebeat。然后,将代理配置为将日志发送到Elasticsearch集群中的一个或多个节点。 以下是大致步骤: 1. 在目标服务器上安装Logstash或Filebeat 2. 配置代理以获取要采集的日志 3. 配置代理以将日志发送到Elasticsearch集群中的节点 4. 在Elasticsearch中创建适当的索引模板和搜索查询以检索日志 具体来说,可以按照以下步骤进行操作: 1. 安装Logstash或Filebeat 对于Logstash,可以按照官方文档中的指南进行操作。对于Filebeat,也可以按照官方文档中的指南进行操作。 2. 配置代理 在Logstash或Filebeat中,需要配置输入和输出。输入是指要采集的日志文件或数据源,输出是指将日志发送到Elasticsearch集群中的节点。 例如,在Filebeat中,可以使用以下配置: ``` filebeat.inputs: - type: log enabled: true paths: - /var/log/myapp/*.log output.elasticsearch: hosts: ["http://es-node1:9200", "http://es-node2:9200"] ``` 这将采集`/var/log/myapp/*.log`中的日志,并将其发送到`es-node1`和`es-node2`节点上的Elasticsearch。 3. 创建索引模板和搜索查询 在Elasticsearch中,需要创建一个适当的索引模板以确保日志正确地解析和存储。还可以创建搜索查询以检索和过滤日志。 例如,可以使用以下示例索引模板: ``` PUT _template/myapp_logs { "index_patterns": ["myapp-*"], "settings": { "number_of_shards": 1 }, "mappings": { "properties": { "timestamp": { "type": "date" }, "message": { "type": "text" }, "tags": { "type": "keyword" } } } } ``` 此模板指定了一个索引模式,即`myapp-*`,并定义了索引中的字段。还可以创建搜索查询以检索和过滤日志。 总之,远程采集日志需要配置日志采集代理,并将其配置为将日志发送到Elasticsearch集群中的节点。然后,在Elasticsearch中创建索引模板和搜索查询以检索日志

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值