ELK --- Grok正则过滤Linux系统登录日志

最新推荐文章于 2024-07-18 17:19:10 发布
最新推荐文章于 2024-07-18 17:19:10 发布
阅读量561 收藏 1
点赞数
文章标签: 操作系统 运维 大数据
原文链接:http://blog.51cto.com/lingxudong/2367074
版权

过滤Linux系统登录日志/var/log/secure

登陆成功

Jan  6 17:11:47 localhost sshd[3324]: Received disconnect from 172.16.0.13: 11: disconnected by user
Jan  6 17:11:47 localhost sshd[3324]: pam_unix(sshd:session): session closed for user root
Jan  6 17:11:48 localhost sshd[3358]: Address 172.16.0.13 maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Jan  6 17:11:51 localhost sshd[3358]: Accepted password for root from 172.16.0.13 port 38604 ssh2
Jan  6 17:11:51 localhost sshd[3358]: pam_unix(sshd:session): session opened for user root by (uid=0)

登陆失败

Jan  6 17:13:10 localhost sshd[3380]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.16.0.39  user=root
Jan  6 17:13:12 localhost sshd[3380]: Failed password for root from 172.16.0.39 port 58481 ssh2

以上信息中我们只用判断登录成功或失败

Jan  6 17:11:51 localhost sshd[3358]: Accepted password for root from 172.16.0.13 port 38604 ssh2
或者
Jan  6 17:13:12 localhost sshd[3380]: Failed password for root from 172.16.0.39 port 58481 ssh2
---------------------

logstash配置

input {
    file {
        path => "/var/log/secure"
    }
}

filter {
    grok {
        match => {
            "message" => ".* sshd\[\d+\]: (?<status>\S+) .* (?<ClientIP>(?:\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})?) .*"
        }
        overwrite => ["message"]
    }
}

output {
    if [ClientIP] =~ /\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/ and ([status] == "Accepted" or [status] == "Failed") {
        elasticsearch {
            hosts => "172.16.11.199"
            index => "logstash-%{+YYYY.MM.dd}"
        }
    }
}

配置解释:

  • input插件使用file读取日志文件

  • filter插件使用grok来匹配相应的日志行

    1. message中定义了两个Fields,分别匹配登录来源IP,和登录状态
    2. overwrite表示重写message行
  • output插件指定将过滤出来的信息输出到哪个地方,这里输出到elasticsearch
    1. 一个条件判断,判断filter中定义的两个fields是否匹配,如果匹配则输出到elasticsearch中,如果不匹配则不操作

正则解释

Jan  6 17:11:51 localhost sshd[3358]: Accepted password for root from 172.16.0.13 port 38604 ssh2
  • .*匹配Jan 6 17:11:51 localhost
  • sshd[\d+]: 匹配sshd[3358]: 段,\d+匹配多个数字

  • (?<status>\S+):
    1.(?<xxx>正则表达式):定义一个xxx字段匹配后面正则表达式,类似{xxx:匹配的结果},在上面output中的条件判断即可使用该字段来使用匹配到的结果
    2.\S+表示多个字符串,也就是匹配Accepted或Failed

  • (?<ClientIP>(?:\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})?)
    1.先定义一个ClientIP字段
    2.(?:...)? 表示匹配一个ip但不保存供以后引用,如果(...)则以后可以使用$1来调用匹配到的值,最后一个?表示非贪婪匹配,尽可能少的匹配

最终输出结果:

{
       "message" => "Mar 22 10:16:51 k8s-n2 sshd[27997]: Failed password for root from 10.201.1.10 port 39302 ssh2",
      "@version" => "1",
    "@timestamp" => "2019-03-22T02:16:51.813Z",
          "path" => "/var/log/secure",
          "host" => "k8s-n2",
        "status" => "Failed",
      "ClientIP" => "10.201.1.10"
}

转载于:https://blog.51cto.com/lingxudong/2367074

weixin_34309543
关注
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
ELK logstash日志收集与过滤
qq_39738963的博客
12-03 1220
logstash日志过滤与收集测试
ELK logstash的grok 自定义正则匹配日志
夏已微凉、
09-26 2134
一、logstash 配置 grok1、配置单个规则2、配置多个规则二、grok 在线调试1、在线调试2、kibana 中调试三、相关文章 一、logstash 配置 grok 1、配置单个规则 这里的流程是直接用logstash分析input源日志文件,然后处理日志数据fliter,grok,最后把数据输出input到elasticsearch中 匹配下面内容中的 client_ip,method,url,duration [2020-09-26 08:34:41] 127.0.0.1 GET .
ELK kibana查询与过滤
最新发布
CSDN_of_ding的博客
07-18 398
ELK kibana查询与过滤 1、通过布尔操作符 AND 、 OR 和 NOT 来指定更多的搜索条件(注意:这AND、OR、NOT必须大)。例如,搜索message包含服务层关键词并且日志级别为INFO的条目,您可以输入 message:“服务层” AND level:“INFO”。 2、要搜索一个确切的字符串,需要使用双引号引起来。如果不带引号,将会匹配每个单词。
ELK--grok正则分析日志与多日志收集
bawei5098的博客
08-30 447
一、收集nginx日志logstash配置文件访问nginx,产生新的日志查找索引有一条logstash-2019-08-28的索引二、grok日志切割日志格式192.168.0.2 - - [28/Aug/2019:22:35:03 +0800] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; WOW6...
查询ssh方式登录记录之/var/log/secure
weixin_43010385的博客
01-21 2317
查询ssh方式登录记录之/var/log/secure 对应目录: >/var/log/secure #ssh方式登录记录储存于此 日志说明: 查询ssh登录失败的主机信息: 【log信息】: Jan 19 00:37:05 kVM20209908-0 sshd[12952]: Failed password for user from 11.167.21.63 port 41412 ssh2 Jan 19 00:37:10 kVM20209908-0 su: pam_unix(su:ses
pytorch安装 及 常见错误总结(长期更新)
Achhhe的博客
08-18 9026
pytorch安装 国内安装pytorch速度非常慢,建议离线实现离线下载好,保存起来 ----------------------------------分割线---------------------------------- 假定已经离线下载好目标版本whl文件 pip install torch.****.whl conda install torchvision=0.2.1...
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及G
11-02
"Linux运维-04-日志分析-日志监控ELK-day03-生产案例及Git版本控制"这个主题深入探讨了如何使用ELK(Elasticsearch、Logstash、Kibana)堆栈进行日志管理和分析,并结合Git进行版本控制,以提升工作效率。...
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与ela
11-01
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署11-es-hea.mp4
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-12-grok插件.mp4
06-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-12-grok插件.mp4
docker-elk-main.rar
05-20
docker-compose 方式部署ELK方案
Lucene 使用正则表达式
04-10
Lucene 正则表达式 regexQuery
linux日志过滤器,使用Logstash的grok过滤日志文件
weixin_32657693的博客
05-04 388
可以使用Logstash的grok模块对任意文本解析并结构化输出。Logstash默认带有120中匹配模式。可以参见源代码logstash/patterns/grok-patternslogstash/lib/logstash/filters/grok.rbgrok的语法格式为%{SYNTAX:SEMANTIC}SYNTAX是文本要匹配的模式,例如3.14匹配 NUMBER 模式,127.0.0...
ELK正则、L的Grok过滤
高精尖发展
04-12 1609
前言: 之前的博客中了通过正则配置filebeat的多行文本,正则在logstash的gork中也起了至关重要的作用,下面就让我们来了解一下正则吧,今天上午看了菜鸟教程关于正则的知识点,对正则有了些许了解,通过这些了解把filebeat中的正则复制一把吧; 正则表达式(regular expression)一种文本模式,描述了一种字符串匹配的模式(pattern),可以用来检查一个串是...
ELK(九)
wzj_110的博客
12-02 175
核心:正则表达式 问题引入:发送nginx整行日志存在的问题 #(1)整行message一般我们并不关心-->ngixn的整行日志 #(2)需要对message进行段拆分,需要用到正则表达式 问题:没有办法对用户url访问的统计或者统计某个ip的访问次数,需要对message进行拆分,可以理解为过滤正则表达式 使用给定好的符号去表示某个含义 例如.代表任意字符 ...
ELK的索引增删改查以及正则
屈帅波的技术博客
08-24 733
Elasticsearch的概念 索引 ->类似于Mysql中的数据库 类型 ->类似于Mysql中的数据表 文档 ->存储数据 Elasticsearch的数据操作 手动curl操作Elasticsearch会比较难 借用Kibana来操作Elasticsearch 测试Web接口 浏览器访问 Kibana操作:GET / 索引操作 创建索引: PUT /shijiange ...
安全日志:/var/log/secure 详解
weixin_49129782的博客
07-06 9230
安全日志:/var/log/secure /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码,或 爆力破解: [root@localhost ~]# tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failures [preauth] Dec 27 14:04:53 13
ELK系列 之 监控ssh登陆日志esalert告警
yuezhilangniao的博客
03-01 720
ELK版本问7,告警后面会用ESalert,前言引文:linux系统的安全日志为/var/log/secure,记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录
elk-stack中文指南:从入门到实战配置详解
"elk-stack,即Elasticsearch、Logstash和Kibana的组合,是一个强大的日志管理和分析工具集,常用于实时数据处理和可视化。本文档提供了一个详尽的指南,涵盖了从安装到高级配置的各个方面。 1.1 部分介绍了elk-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值