logstash处理HDFS与Hive审计日志

最新推荐文章于 2024-07-22 02:52:02 发布
最新推荐文章于 2024-07-22 02:52:02 发布
阅读量1.1k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44224087/article/details/109577410
版权

1.建立虚拟机共享文件夹

打开VMware->编辑虚拟机设置->选项->共享文件夹->添加->D:\workspace\share

在linux中:

mkdir /mnt/hgfs
vmhgfs-fuse .host:/ /mnt/hgfs #如果不设置自动挂载每次打开虚拟机都要执行这条语句

将hdfs-audit.log与hive日志放入windows的share中

2.处理hdfs-audit.log日志

2.1 新建配置文件/config/hdfs.conf
input {
	file {
		path => "/mnt/hgfs/share/hdfs-audit.log"
		start_position => "beginning"
	}
}
filter {
	grok {
        match => {
			"message" => "%{DATESTAMP:data_time}%{SPACE}*%{WORD:level}%{SPACE}*%{NOTSPACE}%{SPACE}*%{NOTSPACE:allowed}%{SPACE}*%{NOTSPACE:ugi}%{SPACE}*%{NOTSPACE}%{SPACE}*%{NOTSPACE:ip}%{SPACE}*%{NOTSPACE:cmd}%{SPACE}*%{NOTSPACE:src}%{SPACE}*%{NOTSPACE:dst}%{SPACE}*%{NOTSPACE:perm}%{SPACE}*%{NOTSPACE:proto}"
        }
    }
	mutate {
		split => ["allowed","="]
		add_field =>   {"allowed_value" => "%{[allowed][1]}"}
		split => ["ugi","="]
		add_field =>   {"ugi_value" => "%{[ugi][1]}"}
		split => ["ip","="]
		add_field =>   {"ip_value" => "%{[ip][1]}"}
		split => ["cmd","="]
		add_field =>   {"cmd_value" => "%{[cmd][1]}"}
		split => ["src","="]
		add_field =>   {"src_value" => "%{[src][1]}"}
		split => ["dst","="]
		add_field =>   {"dst_value" => "%{[dst][1]}"}
		split => ["perm","="]
		add_field =>   {"perm_value" => "%{[perm][1]}"}
		split => ["proto","="]
		add_field =>   {"proto_value" => "%{[proto][1]}"}
	}
	mutate {
		rename => ["allowed_value", "allowed" ]
		rename => ["ugi_value", "ugi" ]
		rename => ["ip_value", "ip" ]
		rename => ["cmd_value", "cmd" ]
		rename => ["src_value", "src" ]
		rename => ["dst_value", "dst" ]
		rename => ["perm_value", "perm" ]
		rename => ["proto_value", "proto" ]
		remove_field => ["message"]
	}
	grok {
		match => {
			"ip" => "%{IP:client}"
		}
	}
	mutate {
		rename => ["client", "ip" ]
	}
}
output {
	stdout{}
	if [cmd] == "delete" or [cmd] == "create" or [cmd] == "mkdirs" or [cmd] == "setOwner" or [cmd] == "setPermission" or [cmd] == "setStoragePolicy" {
		jdbc {
			driver_jar_path => "/var/local/mysql-connector-java-8.0.13.jar"
			driver_class => "com.mysql.jdbc.Driver"
			connection_string => "jdbc:mysql://10.0.77.136:3306/logstash?user=root&password=123456&serverTimezone=GMT%2B8"
			statement => [ "insert into log_hdfs (TIME,level,allowed,ugi,IP,cmd,src,dst,perm,proto) values (?,?,?,?,?,?,?,?,?,?)","%{data_time}","%{level}","%{allowed}","%{ugi}","%{ip}","%{cmd}","%{src}","%{dst}","%{perm}","%{proto}" ]			
		}
	}
}
2.2 log_hdfs建表
CREATE TABLE log_hdfs(
    ID INT NOT NULL AUTO_INCREMENT,
    TIME VARCHAR(25) NOT NULL,
    level VARCHAR(20) NOT NULL,
    allowed VARCHAR(20) NOT NULL,
	ugi VARCHAR(20) NOT NULL,
	IP VARCHAR(20) NOT NULL,
	cmd VARCHAR(50) NOT NULL,
	src VARCHAR(200),
	dst VARCHAR(200),
	perm VARCHAR(50),
	proto VARCHAR(20),
    PRIMARY KEY (ID)
);
2.3 清空表
truncate table log_hdfs;
2.4 下载jdbc输出
./bin/logstash-plugin install logstash-output-jdbc
2.5 启动logstash
./bin/logstash -f ./config/hdfs.conf --path.data=/root/logstash

3. 处理hive日志

3.1 新建配置文件/config/hive.conf
input {
	file {
		path => "/mnt/hgfs/share/hiveServer2/*.log"
		start_position => "beginning"
	}
}
filter {
	json {
		source => "message"
		remove_field => ["message"]
		remove_field => ["id"]
		remove_field => ["additional_info"]
	}        
}
output {
	stdout{}
	jdbc {
			driver_jar_path => "/var/local/mysql-connector-java-8.0.13.jar"
			driver_class => "com.mysql.jdbc.Driver"
			connection_string => "jdbc:mysql://10.0.77.136:3306/logstash?user=root&password=123456&serverTimezone=GMT%2B8"
			statement => [ "insert into log_hive (repoType,repo,reqUser,evtTime,access,resource,resType,action,result,agent,policy,enforcer,sess,cliType,cliIP,reqData,agentHost,logType,seq_num,event_count,event_dur_ms,cluster_name,policy_version) values (?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?)","%{repoType}","%{repo}","%{reqUser}","%{evtTime}","%{access}","%{resource}","%{resType}","%{action}","%{result}","%{agent}","%{policy}","%{enforcer}","%{sess}","%{cliType}","%{cliIP}","%{reqData}","%{agentHost}","%{logType}","%{seq_num}","%{event_count}","%{event_dur_ms}","%{cluster_name}","%{policy_version}" ]
	}
}
3.2 log_hive建表
CREATE TABLE log_hive(
    ID INT NOT NULL AUTO_INCREMENT,
    repoType VARCHAR(20),
    repo VARCHAR(25),
    reqUser VARCHAR(20),
	evtTime VARCHAR(50),
	access VARCHAR(20),
	resource text,
	resType VARCHAR(20),
	action VARCHAR(20),
	result VARCHAR(20),
	agent VARCHAR(20),
	policy VARCHAR(20),
	enforcer VARCHAR(50),
	sess VARCHAR(100),
	cliType VARCHAR(50),
	cliIP VARCHAR(20),
	reqData text,
	agentHost VARCHAR(50),
	logType VARCHAR(50),
	seq_num VARCHAR(20),
	event_count VARCHAR(20),
	event_dur_ms VARCHAR(20),
	cluster_name VARCHAR(20),
	policy_version VARCHAR(20),
    PRIMARY KEY (ID)
);
3.3 修改logstash运行内存
vim config/jvm.option
3.4 启动logstash
./bin/logstash -f ./config/hive.conf --path.data=/root/logstash/hive

4.处理hdfs-audit.log日志(2)(通用)

input {
	file {
		path => "/mnt/hgfs/share/hdfs-log/hdfs-audit.log.11"
		start_position => "beginning"
	}
}
filter {
	mutate {
		split => ["message","	"]
		add_field =>   {"datetime_allowed" => "%{[message][0]}"}
		add_field =>   {"ugi_all" => "%{[message][1]}"}
		add_field =>   {"ip_all" => "%{[message][2]}"}
		add_field =>   {"cmd_all" => "%{[message][3]}"}
		add_field =>   {"src_all" => "%{[message][4]}"}
		add_field =>   {"dst_all" => "%{[message][5]}"}
		add_field =>   {"perm_all" => "%{[message][6]}"}
		add_field =>   {"proto_all" => "%{[message][7]}"}
	}
	grok {
        match => {
			"datetime_allowed" => "%{DATESTAMP:datetime}%{SPACE}*%{WORD:level}"
		}
	}
	mutate {
		split => ["datetime_allowed","="]
		add_field =>   {"allowed" => "%{[datetime_allowed][1]}"}
		split => ["ugi_all","="]
		add_field =>   {"ugi" => "%{[ugi_all][1]}"}
		split => ["ip_all","="]
		add_field =>   {"ip" => "%{[ip_all][1]}"}
		split => ["cmd_all","="]
		add_field =>   {"cmd" => "%{[cmd_all][1]}"}
		split => ["src_all","="]
		add_field =>   {"src" => "%{[src_all][1]}"}
		split => ["dst_all","="]
		add_field =>   {"dst" => "%{[dst_all][1]}"}
		split => ["perm_all","="]
		add_field =>   {"perm" => "%{[perm_all][1]}"}
		split => ["proto_all","="]
		add_field =>   {"proto" => "%{[proto_all][1]}"}
		remove_field => ["datetime_allowed"]
		remove_field => ["ugi_all"]
		remove_field => ["ip_all"]
		remove_field => ["cmd_all"]
		remove_field => ["src_all"]
		remove_field => ["dst_all"]
		remove_field => ["perm_all"]
		remove_field => ["proto_all"]
		remove_field => ["message"]
	}
	grok {
        match => {
        	"ip" => "%{IP:ip}"
        }
        overwrite => ["ip"]
    }
}
output {
	stdout{}
	if [cmd] == "getfileinfo" {
		jdbc {
			driver_jar_path => "/var/local/mysql-connector-java-8.0.13.jar"
			driver_class => "com.mysql.jdbc.Driver"
			connection_string => "jdbc:mysql://10.0.77.136:3306/logstash?user=root&password=123456&serverTimezone=GMT%2B8"
			statement => [ "insert into log_hdfs2 (TIME,level,allowed,ugi,IP,cmd,src,dst,perm,proto) values (?,?,?,?,?,?,?,?,?,?)","%{datetime}","%{level}","%{allowed}","%{ugi}","%{ip}","%{cmd}","%{src}","%{dst}","%{perm}","%{proto}" ]			
		}
	}
}

CREATE TABLE log_hdfs2(
    ID INT NOT NULL AUTO_INCREMENT,
    TIME VARCHAR(25) NOT NULL,
    level VARCHAR(20) NOT NULL,
    allowed VARCHAR(20) NOT NULL,
	ugi text NOT NULL,
	IP VARCHAR(20) NOT NULL,
	cmd VARCHAR(50) NOT NULL,
	src VARCHAR(200),
	dst VARCHAR(200),
	perm VARCHAR(50),
	proto VARCHAR(20),
    PRIMARY KEY (ID)
);

./bin/logstash -f ./config/hdfs2.conf --path.data=/root/logstash
学无止境先生
关注
SparkHive整合原理与代码实例讲解
AI天才研究院
06-29 609
Spark-Hive整合原理与代码实例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:Apache Spark,Hive集成,数据仓库,大数据处理,SQL查询优化 1.背景介绍
logstash-output-thehive:Logstash插件可在TheHive中创建警报
05-11
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参见此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.插件开发与测试 代码 首先,您需要安装了Bundler gem的JRuby。 从GitHub 组织创建一个新的插件或克隆并存在。 我们还提供了。 安装依赖项 bundle install 测试 更
logstash 读取mysql,写入hdfs
chenzl的专栏
10-22 842
环境 centos 6.5 JDK 8 Logstash 6.8 logstash安装,参见Logstash RPM安装 mysql-connector安装 $ cd /var/tmp $ wget https://mirrors.tuna.tsinghua.edu.cn/mysql/downloads/Connector-J/mysql-connector-java-5.1.48.zip $...
logstash采集log文件到hive
最新发布
weixin_40701239的博客
07-22 334
logstash采集log文件到Hive的实践指南 在大数据时代,日志分析已成为企业获取洞察力和优化业务流程的关键手段。Logstash作为Elastic Stack的一部分,是一个开源的服务器端数据处理管道,可以同时从多个来源采集数据,转换数据,然后将数据发送到您选择的“存储库”中。本文将详细介绍如何使用Logstash...
docker安装filebeat
shykevin的博客
08-25 5591
一、概述 filebeat和beats的关系 首先filebeat是Beats中的一员。  Beats在是一个轻量级日志采集器,其实Beats家族有6个成员,早期的ELK架构中使用Logstash收集、解析日志,但是Logstash对内存、cpu、io等资源消耗比较高。相比Logstash,Beats所占系统的CPU和内存几乎可以忽略不计。目前Beats包含六种工具: Packetb...
Flume采集HDFS audit log日志HDFS
Deegue
05-19 1761
1、背景 HDFS的audit log产生数据量很大,速度也很快,在机器系统盘上必须立即持久化到HDFS,否则数据会被覆盖或者磁盘会打满。 用于数据治理-HDFS废弃文件、Hive废弃表检测与清理。 2、实现 ① Apache Flume官网下载最新版本的Flume。 ② 配置audit_log_hdfs.conf # 一个channel一个source 配置3个sink a1.sources = r1 a1.sinks = k1 k2 k3 a1.channels = c1 # 数据来源,给c1配置s
hdfs 审计日志解析
dymkkj的专栏
05-30 1590
前言 近期,数据仓库因为积压数据较大,故对数据访问进行统计,进而计算数据生命周期,决定是否删除,但是对于不同用户的访问,无法做到统计所有访问入口,故从最底层的hdfs审计日志进行解析,对hdfs namenode的审计日志解析,获取当前数据的访问时间,访问目录,访问用户等信息,进行整理数据访问生命周期 审计日志类型 审计日志大致分两类,read/write,通过分析源码找到其包含类型 OperationCategory.READ operationName = "listOpenFiles"; ope
logstash使用webhdfs插件指定输出字段存储数据到hdfs时间分层(还能保留原来数据)
qq_28640637的博客
07-05 2844
第一次...发论坛(手抖)。。。以前只是开通账号,只是用来下载工具包看看而已,今天试试发一下。记录一下一个新的开始。2017-7-5;谢谢 基于项目新搭建环境-->部分工具版本 hadoop 2.6.5 ;hive-1.2.1 logstash 2.4.0; impala-2.8; elasticsesarch-5.4.1; spark-2.1.1; scala 2.12.2 jdk1.8
Logstah同步elasticsearch数据到hdfs
weixin_42862818的博客
06-12 998
最近由于服务器故障,导致部分数据丢失,由于我们当初将数据备份到ES上,现在需要将丢失数据从ES上同步hdfs上,这里我使用Logstash作为数据同步工具。 整体思路是:第一步,拿到最后一次数据发送到hdfs上时间戳(这里我是通过impala查询到的)。第二步,拿到最后一次时间戳,去es上把丢失数据搜出来。第三步,直接追加到hdfs上文件里。中间,还要对数据做一些处理,增加一些字段。 具体配置如下: input { elasticsearc...
hive日志分析(一)
u013696226的专栏
03-04 892
通过hive进行日志分析,因时间关系分几部分发布,以下为不使用format类的最基本情况: 1、日志收集,使用logstash或者flume均可,得到汇总后的日志文件。        例如:upp.log.2014-01-27.log,保存在服务器/export/logs目录 2、安装部署hadoop,具体请看http://blog.csdn.net/u013696226/artic
Hadoop集群监控与Hive高可用.rar
09-29
本资料包"**Hadoop集群监控与Hive高可用.rar**"聚焦于如何有效地监控Hadoop集群以及实现Hive的高可用性,这对于确保数据处理的稳定性和效率至关重要。 一、Hadoop集群监控 1. **监控指标**:监控Hadoop集群涉及...
yarn-auditlog-parser:Yarn的hdfs-audit.log的日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计
05-09
yarn-auditlog-parser Yarn的hdfs-audit.log的日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计 原理介绍 此工具用于分析hdfs-audit日志文件中的hdfs请求,比如下面是一条完整的记录 2015-09-09 05:29:54,727 INFO FSNamesystem.audit: allowed=true ugi=data (auth:SIMPLE) ip=/192.128.10.15 cmd=open src=/user/data/.staging/job_1441718170682_2949/job.jar dst=null perm=null proto=rpc 解析程序主要抽取出其中的时间,ugi用户信息,ip地址信息,cmd操作命令信息,然后进行各个维度统计. 下面是几种使用方法 1.用户分时段统计 java -j
mariadb审计日志通过 logstash导入 hive
weixin_30823833的博客
07-27 251
我们使用的 mariadb, 用的这个审计工具https://mariadb.com/kb/en/library/mariadb-audit-plugin/ 这个工具一点都不考虑后期对数据的处理, 因为他的日志是这样的 20180727 11:40:17,aaa-main-mariadb-bjc-001,user,10.1.111.11,3125928,6493942844,Q...
hdfs auditlog(审计日志)
hsh8819的专栏
10-16 3560
https://my.oschina.net/u/3987818/blog/2223349
java程序中hive数据推送es,如何使用logstashhive查询结果推送到elasticsearch
weixin_39805906的博客
03-16 485
有多个配置单元表,每个配置单元都有1米以上的记录。通过连接多个表来运行相当复杂的查询。希望使用logstash的输入插件将结果推送到弹性堆栈。查询在ssh之后启动到其中一个边缘节点,因此不需要db用户名或密码。在logstash教程中,我所能找到的只是如何在关系数据库中使用jdbc输入插件。你知道如何为蜂巢做以上的工作吗?配置单元查询:/usr/bin/hive -S -i ~/hive/hive...
hive审计日志开启保存
smallnetvisitor的博客
06-11 2846
需求: hive在0.9之后加入的审计日志,具体的信息在metastore下的org.apache.hadoop.hive.metastore.HiveMetaStore 开启hive审计日志,并做其分析 实现: 1.先保存其日志,格式为:org.apache.hadoop.hive.metastore.HiveMetaStore.AUDIT_FORMAT 基于log4j,针对不同的...
cdh hive metastore 日志
yy的博客
07-27 1040
web上查看 文件位置 /var/log/hive/hadoop-cmf-hive-HIVEMETASTORE-sbider-dev-01.log.out
logstatsh数据同步 - 数据同步配置
柏~的博客
04-28 620
目录logstash同步数据库配置启动logstatsh logstash同步数据库配置 上传并解压logstash,位置放在如下: 创建文件名:logstash-db-sync.conf,后缀为conf,文件名随意,位置也随意 把数据库驱动拷贝 配置内容如下 input { jdbc { # 设置 MySql/MariaDB 数据库url以及数据库名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值