ELK grok规则分析

已于 2022-01-20 10:06:20 修改
阅读量3.6k 收藏 1
点赞数 1
分类专栏: # ELK 文章标签: elk grok flow 日志分析
于 2022-01-19 18:13:44 首次发布
本文为博主原创文章,未经博主允许不得转载。如有疑问,请在该文章中留言联系博主,谢谢!!
本文链接:https://blog.csdn.net/tladagio/article/details/122586336
版权
本文介绍了如何利用ELK Stack(Elasticsearch, Logstash, Kibana)进行日志分析,特别是针对路由器NAT访问记录的收集与处理。首先,确保ELK7.5已部署;然后,配置路由器开启NAT日志并输出到logstash服务器。在logstash端,通过grok规则调试提取目的IP和端口,定制配置文件进行日志处理。接着,在Kibana中查看和分析日志,创建可视化视图以展示NAT对外端口的访问次数。此外,文章还提供了源数据、Grok过滤器的使用示例。" 104989348,8155162,数据库系统:安全性、可靠性和加密技术详解,"['安全', '数据库理论', '加密算法', '认证技术', '数据完整性']
摘要由CSDN通过智能技术生成

前提:

ELK服务器已经部署:ELK7.5

需求:

需要采集路由器NAT访问记录,查看被远程访问的次数

一、路由器

 1、开启NAT日志功能

<MSR56> system-view
[MSR56] nat log enable

2、开启NAT新建、删除会话和活跃流的日志功能

#根据需求选择开启,这里为了减少日志输出没有开启删除会话记录
[MSR56] nat log flow-begin
[MSR56] nat log flow-active 10

3、配置Flow日志信息输出到信息中心(默认Flow日志不输出)

[MSR56] userlog flow syslog

直接配置Flow日志输出到logstash会显示乱码

4、配置信息中心日志输出到logstash服务器

#10.5.10.126为logstash服务器IP
[MSR56] info-center loghost 10.5.10.126

二、logstash服务器

1、前台启动,查看到路由器输入的日志

<190>Jan 19 15:57:59 2022 MSR56 %%10NAT/6/NAT_FLOW: -Slot=2; Protocol(1001)=UDP;Application(1002)=dns;SrcIPAddr(1003)=10.5.40.9;SrcPort(1004)=29025;NatSrcIPAddr(1005)=163.63.111.150;NatSrcPort(1006)=21051;DstIPAddr(1007)=200.96.128.86;DstPort(1008)=53;NatDstIPAddr(1009)=200.96.128.86;NatDstPort(1010)=53;InitPktCount(1044)=0;InitByteCount(1046)=0;RplyPktCount(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;RcvDSLiteTunnelPeer(1040
最低0.47元/天 解锁文章
友人a笔记
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ELK实战教程.zip
02-26
ELK(Elasticsearch、Logstash、Kibana)是大数据时代常用的一种日志管理和分析工具栈,它以其强大的实时日志处理能力而闻名。本教程将带你深入理解和掌握ELK的各项功能,通过实战演练,提升你在日志管理领域的技能...
ELKgrok插件、mutate插件、multiline插件、date插件的相关配置
欲买桂花同载酒
08-09 1050
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
Filebeat+ELKgrok、mutate、mutiline、date)详解
A1100886的博客
07-11 1641
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。日志管理方案服务器数量较少时,rsyslog或脚本 收集、分割日志,统一汇总到专门存放日志的日志服务器保存管理查看日志可把需要的日志文件传到Windows主机上,使用专业的文本工具打开分析日志服务器数量较多时,ELK 收集日志,存储日志,展示日志。
ELKgrok正则匹配
没枕头我咋睡觉
01-27 1657
1、Grok简介: grok是logstash最重要的插件之一,主要用来通过正则匹配解析抓取到的日志 。 2、Grok预设字段匹配 > 语法:%{SYNTAX:SEMANTIC} > 举例: > 预设字段参考网站 :https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash 3、Grok自定义字段 ...
ELK+grok+华为防火墙USG6500会话日志
XiaoMa_Ge2019的博客
05-08 4585
前言 作为一名网络工程师进程要分析网络设备、防火墙设备日志,网上大部分都是通过logstash进行收集syslog日志,但是没有对国产设备防火墙分析。本次项目采用centos 7.2操作系统,elk7.7版本。关于elk的安装本次不涉及。 处理流程 1、开启防火墙会话功能 2、elk在logstash配置文件配置grok插件; 3、kibana需要将索引重新加载一下,就能关心的防火墙5元组重要信息(源端口、源IP、目的端口、目的ip等); 详细部署 1、重点grok如何分析防火墙日志; 示例:有了语法和语
elk笔记4--grok正则解析
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
05-04 1452
elk笔记4--grok正则解析1 grok 切分方法2 grok 切分案例3 说明 1 grok 切分方法 grok切分规则可按照如下思路进行。 1)找准切分标志,以切分标志作为中心向左或者向右逐个字段抽出,对于正则中的通配符需要进行转义处理,否则这类字符作为分割标志的时候容易解析出错 2)也可以直接从左到右逐个字段取出 2 grok 切分案例 案例1内容: 2016/04/27 12:22...
elk部署包简单版本11111
最新发布
12-25
ELK(Elasticsearch, Logstash, Kibana)是一个流行的开源日志分析栈,用于收集、解析、存储和可视化各种日志数据。这个“elk部署包简单版本11111”很可能是为了简化ELK环境的搭建过程而打包的资源集合,可能包含了...
ELK插件及文档
05-25
在IT领域,ELK(Elasticsearch、Logstash、Kibana)栈是实时日志分析的热门解决方案,尤其适用于大数据处理和日志可视化。Elasticsearch是一个强大的分布式搜索引擎,Logstash是数据收集、处理和转发工具,而Kibana...
elk集群部署手册
08-22
ELK(Elasticsearch, Logstash, Kibana)是用于日志管理和分析的流行开源工具栈。这个集群部署手册将详细介绍如何构建和配置ELK集群,以便有效地处理、解析、存储和展示大量日志数据。 ### Elasticsearch 部署 1. ...
ELK之logstash四大组件
2301_76838634的博客
07-11 892
/自定义表达式调用语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
ELK日志处理之使用Grok解析日志
热门推荐
1.02^365=1377.41
03-17 2万+
介绍如何在logstash中使用Grok和正则表达式解析任意格式日志,以及Grok Debugger的使用。
logstash之grok插件自定义规则学习
最美dee时光的博客
12-10 532
1、前言 近期通过ELK(Elasticsearch, Logstash, Kibana)对Nginx产生的日志进行采集,但是在对nginx的日志格式进行预处理的时候使用到了logstash的grok的插件,特意在此为大家分享下个人的学习总结。 2、Grok提供的常用Patterns说明及举例 要学习Grok的默认表达式,我们就要找到它的具体配置路径,路径如下: patterns路径 [logstash安装路径]/vendor/bundle/jruby/x.x.x/gems/logstash-pattern
logstash grok 规则
hongchenshijie的博客
04-21 294
logstash grok 规则
ELK之logstash】 grok入门:自测实例+常用正则(grok-patterns)
MayMatrix 的博客
03-13 2305
一、背景 研究了grok几天,虽然知识还是很浅薄,但还是在这里做个总结。 场景 在使用logstash进行日志收集工作的时候,filter是个很重要的插件,而其中的Grok能很好的解析日志。 logstash教程:https://blog.csdn.net/qq_34646817/article/details/81232083 grok教程:https://blog.csdn.net/q...
H3C路由器记录nat转换日志到syslog
allway2的博客
07-27 3733
// 日志输出至信息中心 userlog flow syslog // 使能 NAT 日志功能 nat log enable // 创建 NAT Session 时 创建日志 nat log flow-begin // 打开 NAT 活跃流记录功能 nat log flow-active 10 // 结束 NAT Session 时 创建日志 nat log flow-end ...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1600
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
Logstash Grok详解
叱咤少帅的博客
03-18 1万+
介绍 Logstash的Grok 可以使蹩脚的、无结构的日志内容结构化 需要注意的地方 grok 模式是正则表达式,因此这个插件的性能受到正则表达式引擎严重影响,效率并不高。如果通过给定的匹配格式匹配不上会Kibana查询的时候打上tag 为 grok failed 的标签 语法详解 grok模式的语法如下: %{SYNTAX:SEMANTIC} SYNTAX:代表匹配值的类型,例如3.44可以...
ELK日志系统中logstash插件 —— grok 正则捕获 . mutate数据修改 . multiline 多行合并 . date 时间处理插件
低温热源的博客
07-11 1369
测试成功的正则表达式写入logstash配置文件中filter {grok {match => [ "message" , "正则表达式" ]#match匹配 message字段 正则表达式 写在“ ”内语法举例捕获10或11和长度的十六进制数的queue_id可以使用表达式(?匹配IP\d{1,3} 数字1-3次 以间隔 重复4次匹配方式(get/post)A-Z一次或多次匹配网址/.* / 后所有响应时间。
grok规则常用表达式
weixin_34247155的博客
05-18 3104
grok规则常用表达式● USERNAME 或 USER用户名,由数字、大小写及特殊字符(._-)组成的字符串比如:1234、Bob、Alex.Wong等● EMAILLOCALPART电子邮件用户名部分,首位由大小写字母组成,其他位由数字、大小写及特殊字符(_.+-=:)组成的字符串。注意,国内的QQ纯数字邮箱账号是无法匹配的,需要修改正则比如:stone、Gary_Lu、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

友人a笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值