3. Logstash 网络设备日志;输入-格式化-输出

最新推荐文章于 2023-12-26 17:19:59 发布
最新推荐文章于 2023-12-26 17:19:59 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: Logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46400098/article/details/105725333
版权

=================================================================

1. 日志输入接口

 

input{ # 输入接口

 

udp{ #启用UDP协议

type => "syslog" # 类型为syslog

host => "100.76.37.69" # 本机对外服务器IP地址

port => 514 # 启用UDP 514 端口,一般接收 网络设备日志。

}

 

}

============================================================================

2. 日志策略

filter{ # 策略

 

==============================================================================

2.1 针对于华为防火墙日志格式化

if "HW" and "FW" in [message]{ # 判断 HW 和 FW 字段同时在本条日志中出现

 

grok{ #日志格式化

match => {

"message" => "\S+[0-9]{1,4}-\d\d-\d\d %{TIME} %{HOSTNAME:Log_Device_Name} %%01(?<Log_Total>[A-Z]{1,9})/(?<Log_Level>\d)/(?<Log_Type>\S+):"

}

}

 

grok{

match => {

"message" =>"\S+[0-9]{1,4}-\d\d-\d\d %{TIME} (?<Log_Company>[A-Z]{1,4})-(?<Log_Area>[A-Z]{1,3})-(?<Log_Position>\S{1,6})-(?<Log_Function>[A-Z]{1,6})-(?<

Log_Model>\S{1,3}[0-9]{1,6}-[0-9]{1,8}\S+)"

}

 

}

===================================================================

2.1.1 字段重命名 及怎删改

 

if "HW" and "FW" in [Log_Device_Name]{

mutate{

 

rename => {"host" => "Log_Ip"} # 修改原日志 host 字段为 Log_Ip字段

add_field => {"Log_Device_Type" => "FW"} #增加 FW 字段

add_field => {"Log_City" => "BJ"}

remove_field => ["@version"]

remove_field => ["_id"]

 

 

}

}

 

}

=========================================================================================

2.2 华为交换机日志格式

if "HW" and "SW" in [message]{

 

grok{

match => {

"message" => "%{MONTH} +%{MONTHDAY} %{YEAR} %{TIME} %{HOSTNAME:Log_Device_Name} %%01(?<Log_Total>[A-Z]{1,9})/(?<Log_Level>\d)/(?<Log_Type>\S+):"

 

}

}

 

grok{

match => {

"message" =>"%{MONTH} +%{MONTHDAY} %{YEAR} %{TIME} (?<Log_Company>[A-Z]{1,4})-(?<Log_Area>[A-Z]{1,3})-(?<Log_Position>\S{1,6})-(?<Log_Function>[A-Z]{1,6

})-(?<Log_Model>\S{1,3}[0-9]{1,6}-[0-9]{1,8}\S+)"

}

}

2.2.1 字段重命名 及怎删改

if "SW" and "HW" in [Log_Device_Name]{

mutate{

 

rename => {"host" => "Log_Ip"}

add_field => {"Log_Device_Type" => "SW"}

add_field => {"Log_City" => "BJ"}

remove_field => ["@version"]

remove_field => ["_id"]

 

}

}

}

 

=================================================================================

2.3 防火墙VPN 日志格式

 

if "VPN" in [message]{

 

grok{

match => {

"message" => "\S+[0-9]{1,4}-\d\d-\d\d %{TIME} %{HOSTNAME:Log_Device_Name} %%01(?<Log_Total>[A-Z]{1,9})/(?<Log_Level>\d)/(?<Log_Type>\S+):"

 

}

}

 

grok{

match => {

"message" =>"\S+[0-9]{1,4}-\d\d-\d\d %{TIME} (?<Log_Company>[A-Z]{1,4})-(?<Log_Area>[A-Z]{1,3})-(?<Log_Position>\S{1,6})-(?<Log_Function>[A-Z]{1,6})-(?<

Log_Model>\S{1,3}[0-9]{1,6}-[0-9]{1,8}\S+)"

}

}

========================================================================================

2.3.1 字段重命名 及怎删改

if "VPN" and "HW" in [Log_Device_Name]{

mutate{

 

rename => {"host" => "Log_Ip"}

add_field => {"Log_Device_Type" => "FW"}

add_field => {"Log_City" => "BJ"}

remove_field => ["@version"]

remove_field => ["_id"]

 

}

}

}

 

============================================================================================================================

2.4 H3C 日志格式化

 

if "H3C" in [message]{

grok{

match => {

"message" => "%{MONTH} +%{MONTHDAY} %{TIME} %{YEAR} %{HOSTNAME:Log_Device_Name} %%10(?<Log_Total>[A-Z]{1,7})\S(?<Log_Level>\d)/(?<Log_Type>\S+)"

 

}

}

grok{

match => {

"message" => "%{MONTH} +%{MONTHDAY} %{TIME} %{YEAR} (?<Log_Company>[A-Z]{1,4})-(?<Log_City>[A-Z]{1,4})-(?<Log_Area>[A-Z]{1,3})-(?<Log_Position>\S{1,6}

)-(?<Log_Function>[A-Z]{1,9})-(?<Log_Model>\S+{1,3}[0-9]{1,6}-[0-9]{1,8}\S+)"

}

}

==========================================================

2.4.1 字段重命名 及怎删改

mutate{

 

rename => {"host" => "Log_Ip"}

add_field => {"Log_Device_Type" => "SW"}

remove_field => ["@version"]

remove_field => ["_id"]

}

}

 

======================================================================================================

2.5 EMC 存储日志格式化

if "XIO_XY_XMS" in [message]{

 

grok{

match => {

 

"message" => "\S+%{MONTH} +%{MONTHDAY} %{TIME} (?<Log_Device_Name>[A-Z]{1,6}_[A-Z]{1,6}_[A-Z]{1,6}) ([a-z]{1,6}:) \d+: \S+"

}

 

}

===================================================

2.5.1 字段重命名 及怎删改

 

mutate{

 

rename => {"host" => "Log_Ip"}

add_field => {"Log_Device_Type" => "Storage"}

add_field => {"Log_City" => "BJ"}

add_field => {"Log_Area" => "XY"}

add_field => {"Log_Position" => "1F-A11"}

add_field => {"Log_Company" => "JP"}

remove_field => ["@version"]

remove_field => ["_id"]

}

 

 

}

 

if "XIO_YZ_XMS" in [message]{

 

grok{

match => {

 

"message" => "\S+%{MONTH} +%{MONTHDAY} %{TIME} (?<Log_Device_Name>[A-Z]{1,6}_[A-Z]{1,6}_[A-Z]{1,6}) ([a-z]{1,6}:) \d+: \S+"

}

 

}

 

mutate{

 

rename => {"host" => "Log_Ip"}

add_field => {"Log_Device_Type" => "Storage_DB_Orcal"}

add_field => {"Log_City" => "BJ"}

add_field => {"Log_Area" => "YZ"}

add_field => {"Log_Position" => "B1-I01"}

add_field => {"Log_Company" => "JP"}

remove_field => ["@version"]

remove_field => ["_id"]

}

 

 

}

======================================================================================================

2.6 DEll NAS日志格式化

if [host] == "100.119.8.50"{

mutate{

 

rename => {"host" => "Log_Ip"}

add_field => {"Log_Device_Type" => "Storage_NAS"}

add_field => {"Log_City" => "BJ"}

add_field => {"Log_Company" => "JDB"}

remove_field => ["@version"]

remove_field => ["_id"]

}

}

#############################################################################################################

}

 

3. 日志输出至Elasticsearch集群

output{

==========================================

3.1 solarwinds 日志输出

if [host] == "1.65.15.1"{

elasticsearch{

hosts => "1.65.17.102:9200"

manage_template => true

index => "Solarwinds-%{+YYYY-MM}"

 

}

}

===========================================================

3.2 数据中心网络设备日志输出(网络组 集群)

if [host] != "1.65.15.1"{

elasticsearch{

hosts => ["100.76.37.64:9200","100.76.37.65:9200","100.76.37.66:9200"]

manage_template => true

index => "logstash_network-%{+YYYY-MM-dd}"

}

}

 

=================================================================

3.3 DB部门 Elasticsearch 集群

elasticsearch{

hosts => ["100.115.3.1:9201","100.115.3.2:9201","100.115.3.3:9201"]

manage_template => true

index => "logstash_network-%{+YYYY-MM-dd}"

}

}

 

[root@Logstash_37_69 config]#

木棍先生
关注
专栏目录
使用Logstash过滤插件Grok的内置正则实现日志数据格式化
江晓龙的博客
07-13 1183
格式化之前的日志内容 一条nginx的日志内容,第一列是客户端IP,第二列是请求方式,第三列是请求的URL,第四列是请求的文件大小,第五列是响应时间,如果这条数据不进行格式化,我们是无法针对性的去匹配相应的日志内容,比如想统计出响应时间比较长的页面,我们就需要去筛选第五列了,但是日志不进行格式化,就无法针对第五列去做筛选。kibana上可以针对grok的表达式进行调试点击Management—>开发工具—>grok debugger1)在kibana上使用grok正则调试格式化日志数据Grok模式:数据中第
推荐使用logstash_formatter:为Logstash定制的JSON日志格式化工具
最新发布
gitblog_00529的博客
08-30 535
推荐使用logstash_formatter:为Logstash定制的JSON日志格式化工具 python-logstash-formatterpython JSON log formatter with a logstash compatible schema项目地址:https://gitcode.com/gh_mirrors/py/python-logstash-formatter 项目介...
Elasticsearch与Logstash日志采集(应用模块、按格式输出
weixin_41927237的博客
08-27 1296
Logstash 是一个完全开源的工具,他可以对你的日志进行收集、过滤,并将其存储供以后使用。 此篇博客是在前一篇博客搭好集群和安装好head 插件的基础上做的 具体请看Elasticsearch单机存储和多节点分布式存储配置 一、数据采集 [root@server1 ~]# cd elk/ [root@server1 elk]# rpm -ivh logstash-2.3.3-1.n...
Logstash 时间格式化
Brave_heart4pzj的博客
05-17 2044
情景: 我这边对接kafka,通过^符号来进行字符串分割 其中, 有个时间字段,但是,时间是14位的数字字符串 类似:20220517162218 于是,我这边需要转换成date类型的,才能在页面上按时间查询 转换成:2022-05-17 14:51:23 代码: mutate{ split => ["message","^"] add_field => { "my_time" => "%{[message][8]}" } } da
logstash 格式处理
yevvzi的博客
10-11 1012
1.java抛出exception后日志不在一行 通过使用codec multiline 在logstash::input中添加 codec => multiline {             pattern => "^\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}"  正则匹配             negate => true  false为
logstash数据处理及格式化功能详解
ai040865的博客
08-21 3112
Grok正则提取日志 环境延续我上一篇ELK单机版的filebeat-->redis-->logstash-->elasticsearch-->kibana环境,详情请参考: Elasticsearch + Logstash + Kibana +Redis +Filebeat 单机版日志收集环境搭建 正则表达式 普通正则表达式 . 任意一个字符 *...
logstash-7.17.9-windows-x86-64.zip
02-04
Logstash的工作流程中,它通常接收来自各种来源的数据,如系统日志、应用程序日志网络设备日志等。然后,它使用各种过滤器对这些数据进行处理,比如解析、转换、添加元数据等操作。最后,经过处理的数据会被加载...
logstash-7.17.5-windows-x86_64.zip
07-13
这包括数据清洗、格式化、添加元数据、解析复杂日志格式等多种操作。比如,Grok 过滤器用于解析非结构化的日志数据,而 Mutate 过滤器则可修改字段值或重命名字段。 3. **输出(Outputs)**:经过处理的数据会被...
1.logstash 网络设备日志格式化标准
木棍先生的博客
04-24 1367
实实在在的干货,各位道友可以用的着,工作中一帆风顺,步步高升。 1.设备命名标准举例 设备命名标准举例 1{JP}-2{BJ}-3{XY}-4{1F-B16}-5{CSW}-6{H3C12508}-7{001} 所属公司 {1} 九派 公司区分当前是因为方便支付过检 ...
logstash-7.9.3-linux.rar
04-07
1. **输入插件(Inputs)**:Logstash可以接收来自不同来源的数据,如系统日志网络设备、数据库等。在7.9.3版本中,它支持多种输入插件,例如file、syslog、http、beats等,用于从各种日志文件、网络接口和自定义...
logstash php.log,Logstash 日志管理工具
weixin_34765773的博客
03-29 178
Logstash是一个开源的日志管理工具。项目地址:http://logstash.net/Logstash安装使用以下组件: Logstash Elasticsearch Redis Nginx Kibana 服务端: fqdn: dev.kanbier.lan (should be resolvable!) ip: 10.37.129.8 安装所需的软件 作者更喜欢使用RPM包Logstash...
ELK收集网络设备日志
weixin_34122548的博客
12-13 3621
最近部署了ELK,将自己在部署过程中参考的文章总结一下ELK版本:elasticsearch-5.2.2 kibana-5.2.2 logstash-2.4.1 all plugins部署环境为单台服务器,未配置集群 一、官网下载地址:https://www.elastic.co/downloads 二、elasticsearch安装 1、由于安装ELK需要jdk,因此没有jdk的,先安装1....
logstash】时间计算和格式化
shen12138的博客
12-04 3308
记录 时间格式化:.strftime(’%Y-%m-%d %H:%M:%S.%L’) %L:毫秒 时间计算:code => “event.set(‘timestamp’, (event.get(‘timestamp’).time.localtime - 86060))” input { file { path => "/home/nxlog/test.txt" start_position => "beginning" } } filter{ gr
ELK:Logstash6.7版本配置记录及格式化时间
小白的专栏
10-09 812
一、背景 项目统一升级ELK,原来的版本已经不适配新的集群,需要升级elk版本,升级的过程中很多配置改变,记录下相关操作。 这里只记录logstash的相关配置。 二、相关配置 我们都知道logstash配置文件的主要格式如下 input { } filter { } output { } 原来项目使用的是2.3.4版本的logstash,升级到新版本后相关的配置发生了改变。 2.3.4版本input input { kafka{ group_i
logstash详解 - output模块
Jepson的博客
04-08 3128
Logstash的output模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,如:可以输出到控制台、输出到指定的文件,输出到指定的网络端口、也可以输出数据到kafka/ES等等,下面介绍几种常见的输出插件及其常用配置。
logstash收集华为、H3C、Cisco交换机日志
weixin_44147924的博客
12-26 2067
之后登录logstash服务器,配置conf。修改后,重启Logstash。登录ELK,检查数据。
强大的logstash
fanda-star
01-05 1577
1、logstash介绍 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 2、工作原理 Logstash 事件处理管道有三个阶段:输入 → 过滤 → 输出输入生成事件,过滤器修改事件,然后输出到其他地方。输入输出支持编解码器,使您能够在数据进入或退出管道时对其进行编码或解码,而不必使用单独的过滤器。 详细可参考文档: https://www.elastic.co/guide/en/logstash
Elastic 之网络设备日志收集
quzuqiang的博客
01-05 3627
如何收集网络设备日志?收集日志后如何对日志进行分析判断网络中是否存在隐患?笔者通过Elastic + rsyslog 实现。
logstash 下的config中syslo.conf 作用
05-21
Syslog 是一种广泛使用的日志格式,用于网络设备、服务器和应用程序等的日志记录。syslog.conf 配置文件中定义了 Logstash 如何解析和处理 Syslog 格式的日志数据,通常包含以下几个部分: 1. input:指定从哪里...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值