1、网络设备、安全设备不同品牌、不同型号的设备,日志格式都不一样,那针对这种情况,我们可以使用工具grok debugger进行日志格式解析,具体的网址为:
地址:https://grokdebug.herokuapp.com/
也可以采用私有化部署:
docker 安装grokdebugger
docker pull qiudev/grokdebugger
docker run -d --name grokdebugger -p 19999:9999 qiudev/grokdebugger
这里我们是吧docker内端口9999映射到服务器19999上,这样,我们通过服务器的19999端口就能访问到:
例:防火墙报文
2024-05-30T11:13:07+08:00 shibianjie-FW klogd: devid=0 date="2024/05/30 11:13:07" dname=XXXX-FW logtype=1 pri=5 ver=0.3.0 rule_name=pf1 mod=pf smac=XX:XX:XX:XX:XX:XX dmac=XX:XX:XX:XX:XX:XX svm= dvm= sa=XX.XX.XX.XXX sport&