使用logstash进行ip映射(主机名或系统名)

最新推荐文章于 2023-06-27 08:04:10 发布
VIP文章 最新推荐文章于 2023-06-27 08:04:10 发布
阅读量6.6k 收藏 1
点赞数 2
分类专栏: ELK 点火三周的Elastic Stack专栏 文章标签: IP地址映射 logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013613428/article/details/89011436
版权

文章目录

需求场景

当使用elasticsearch进行日志数据可视化的时候,往往会遇到需要IP地址无法human-reading的情况。这时,我们需要将IP地址进行一定的格式转换,将其转换为主机名(hostname)或者系统名(application/service name)。

以WAF的日志为例,里面的dst_ip记录了被攻击的主机ip,scr_ip记录了发起攻击的系统的ip:
在这里插入图片描述
可视化后,如果以dst_ip进行聚合,我们无法清楚的看到是哪个系统遭受了攻击
在这里插入图片描述
因此,我们需要将IP到系统名进行一个映射。实际的生产工作中,我们一定还会在其他的地方遇到类似的需求。

解决方案

如果只有一两个值的情况,我们可以用script field和plainless的方式来解决。但如果我们有大量的记录,每次都通过脚本的方式进行转换会为集群带来大量的负担,并且会需要更长的处理时间,因此,我们需要在数据写入的时候就进行IP地址的转换。

logstash上提供了一个dns_filter_plugin,可以进行dns的查找。其中有几个重要的参数:

  • resolve, 是指将A记录(主机名),CNAME记录(服务名)等域名转换为IP地址
  • reverse,是指反向映射,将IP地址映射为域名
  • hostsfile, 包含映射关系的hosts文件
  • action, 需要执行的操作,提供的操作类型是replace和append。replace是现场替换,直接将field里的value进行替换。append是附加,会将field里的value转换为数组,并且附加到数组的末尾。

测试示例

我们可以快速的通过logstash的其他plugin,一起来验证dns是否可以完成我们的需求。

  • input: 使用generate plugin
  • filter:使用dns plugin
  • output: 使用stdout plugin

新建一个conf文件:

input{
   

  generator {
   
    message => "192.168.135.105"
    count => 1
  }

}

filter {
   
	dns {
   
	  action => "replace"
	  reverse => [ "message" ] ## 我们使用reverse,是因为我们需要根据IP,知道系统
	  hostsfile => ["/Users/Lex/Applications/myhosts"]
最低0.47元/天 解锁文章
点火三周
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GeoLite2-City(logstash IP资源库)
10-26
IP资源库 GeoLite2-City GeoLite2-City GeoLite2-City GeoLite2-City
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
logstash使用总结
csdncjh的博客
06-11 3253
如下实现了取@timestamp的天,动态创建index索引以itemId字段作为索引idlush_size和两个参数共同控制 Logstash 向 Elasticsearch 发送批量数据的行为。以上面示例来说:Logstash 会努力攒到 5条数据一次性发送出去,但是如果 5秒钟内也没攒够 5条,Logstash 还是会以当前攒到的数据量发一次。flush_size的大小不能超过 Logstash 运行时的命令行参数设置的batch_size,否则将以batch_size为批量发送的大小。
Logstash简单介绍
迷途的攻城狮
06-22 5万+
Logstash入门介绍   一、Logstash简介
logstash配置文件
jialiu111111的博客
01-25 3373
logstash.yml配置文件 # ------------ Node identity ------------ #节点称,默认主机名 node.name: test # ------------ Data path ------------------ #数据存储路径,默认LOGSTASH_HOME/data path.data: # ------------ Pipeline Settings -------------- #pipeline ID,默认main pipelin
logstash 配置详解
一起来氪金
08-30 4021
input { #file可以多次使用,也可以只写一个file而设置它的path属性配置多个文件实现多文件监控 file { #type是给结果增加了一个属性叫type值为"<xxx>"的条目。这里的type,对应了ES中index中的type,即如果输入ES时,没有指定type,那么这里的type将作为ES中index的type。 t...
logstash s3 写入 %{host} %{message}异常
ghostyusheng 's blog
06-06 684
logstash s3 %{host} %{message} 异常,错误
LogStash的配置详解
最新发布
趣学程序
06-27 3767
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件。插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
如何为logstash+elasticsearch配置索引模板?
三劫散仙
04-12 2615
[size=medium] 在使用logstash收集日志的时候,我们一般会使用logstash自带的动态索引模板,虽然无须我们做任何定制操作,就能把我们的日志数据推送到elasticsearch索引集群中,但是在我们查询的时候,就会发现,默认的索引模板常常把我们不需要分词的字段,给分词了,这样以来,我们的比较重要的聚合统计就不准确了: 举个例子,假如有10台需要的监控的机器,他们的机器...
Elasticsearch 常用操作、对接Logstash以及处理本地IP、ECS规范(干货满满)
特别享受思考问题的过程
07-03 1672
经过前面两篇博文之后,现在已经有了article数据、可以查询相关数据。那接下来就是在这个基础上继续完善
Logstash实践:分布式系统的日志监控
02-26
tail+grep或者把日志下载下来再搜索,可以应付不多的主机和应用不多的部署场景。但对于多机多应用部署就不合适了。这里的多机多应用指的是同一种应用被部署到几台服务器上,每台服务器上又部署着不同的多个应用。...
Logstash实践分布式系统的日志监控Java开发Jav
11-25
Logstash实践分布式系统的日志监控Java开发Java经验技巧共10页.pdf.zip
Logstash日志管理系统 v7.10.1
12-28
为您提供Logstash日志管理系统下载,Logstash是一个应用程序日志、事件的传输、处理、管理和搜索的平台。你可以用它来统一对应用程序日志进行收集管理,提供Web接口用于查询和统计。Logstash现在是ElasticSearch家族...
elasticsearch painless最强教程
热门推荐
点火三周的专栏
09-29 6万+
何为painless painless的特性 简单的例子 具体例子 初始化数据 用painless获取doc的值 通过painless更新对象值 单条记录更新 批量更新 Dates
elasticsearch APM功能全解 一
点火三周的专栏
01-27 3万+
elastic stack在6.3版本开始推出了APM功能,但当时只支持nodejs,python和ruby,尚不支持java和go,而公司里面大部分系统还是java,因此只是关注,还没有去解读。但在6.4.0版本,终于推出了java和go的beta版本,而在6.5.0版本,终于变为GA版本。这使得在生产环境上部署APM服务变为可能,下面让我们一起来看看elastic stack的这个APM服务...
在filebeat 6.0.0中如何将log输出到不同到kafka topics
点火三周的专栏
11-29 2万+
2017年11月,elastic发布了最新的elastic stack 6.0.0版本,整个版本做了不少的改动,大家可以查阅官方的release note和break change。我们第一时间尝鲜,将日志分析系统升级到6.0.0。坑肯定是少不了了,这里,说一下filebeat升级后但影响。 在filebeat 5.x的版本中,如果你想在一个filebeat agent上收集不同的log,然后pub
Elastic安全分析新利器 —— Event Query Language (EQL) 介绍
点火三周的专栏
11-18 2万+
文章目录简化复杂的查询设计一种语言应用EQLIOC 检索时间窗口搜索管道处理事件序列进程祖系 (PROCESS ANCESTRY)函数调用阀值排序 随着网络安全攻防双方的技术不断升级,敌方活动不再单纯地用静态的 “入侵指标”(IOCs)来描述。仅仅关注IOCs会导致检测变得脆弱,而且在发现未知攻击时效果不佳,因为对手可以通过简单的修改工具包以轻松逃避基于指标的检测。相反,安全从业者需要基于恶意行为的持续检测。MITRE ATT&CK框架可以帮助从业者将其防御传统技术集中在这些恶意行为上。通过将对手的
Logstash的性能测试 二
点火三周的专栏
09-13 1万+
使用正常的log做测试
使用Zeek和ELK创建企业监视 一
点火三周的专栏
12-05 1万+
介绍 在本系列中,我将向您展示如何利用开源技术来构建自己的网络监视解决方案,使其足以部署在任何企业环境中!我们将使用的两种核心技术是Zeek(以前称为Bro)和ELK。 其中,Zeek是一个开放源代码的网络监视框架,该框架根据网络旁路监听的数据创建警报和事件,其本质是一个IDS。它在整个行业中都有使用,尤其是在网络异常领域,实际上,英国网络安全公司Darktrace使用Zeek作为其产品的关键组件。 该解决方案的计划是利用Zeek接入我们的网络,并将日志输入Elasticsearch,借助Elasti
使用logstash+grok提取里面的所有ip和端口
05-24
可以使用logstash+grok来提取日志里的IP和端口信息。 首先,需要在logstash的配置文件中设置input和output,以及filter过滤器。 input可以是从文件读取,也可以是从网络接收。例如: ``` input { file { path => "/path/to/logfile.log" start_position => "beginning" } } ``` output可以是写入文件,也可以是发送到其他服务。例如: ``` output { elasticsearch { hosts => ["localhost:9200"] index => "logstash-%{+YYYY.MM.dd}" } } ``` filter过滤器可以使用grok插件来提取IP和端口。例如: ``` filter { grok { match => { "message" => "%{IP:src_ip}:%{NUMBER:src_port} %{IP:dst_ip}:%{NUMBER:dst_port}" } } } ``` 这个例子中,使用%{IP}和%{NUMBER}分别匹配IP地址和端口号,并将它们命为src_ip、src_port、dst_ip和dst_port。 最后,运行logstash即可: ``` bin/logstash -f /path/to/config.conf ``` logstash将会读取日志文件,提取IP和端口信息,并将结果写入Elasticsearch或其他目的地。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值