grok debugger 正则解析 网络安全设备日志

于 2024-06-10 15:01:08 发布
阅读量995 收藏 15
点赞数 13
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsfqh/article/details/139376607
版权

 1、网络设备、安全设备不同品牌、不同型号的设备,日志格式都不一样,那针对这种情况,我们可以使用工具grok debugger进行日志格式解析,具体的网址为:

地址:https://grokdebug.herokuapp.com/

也可以采用私有化部署:

docker 安装grokdebugger

docker pull qiudev/grokdebugger
docker run -d --name grokdebugger -p 19999:9999 qiudev/grokdebugger

这里我们是吧docker内端口9999映射到服务器19999上,这样,我们通过服务器的19999端口就能访问到:

http://XXX.XX.XX.XXX:19999

例:防火墙报文

2024-05-30T11:13:07+08:00 shibianjie-FW klogd: devid=0 date="2024/05/30 11:13:07" dname=XXXX-FW logtype=1 pri=5 ver=0.3.0 rule_name=pf1 mod=pf smac=XX:XX:XX:XX:XX:XX dmac=XX:XX:XX:XX:XX:XX svm= dvm= sa=XX.XX.XX.XXX sport=45751 type=NULL da=XX.XX.XXX.XXX dport=8080 code=NULL proto=IPPROTO_TCP policy=允许 duration=0 rcvd=60 sent=60 fwlog=0 dsp_msg="包过滤日志"

pattern模式匹配

%{timestamp:timestamp}\+\d{2}:\d{2}\s+%{hostname:hostname}\s*klogd:\s*devid=0\s*date="%{dates:dates}"\s*dname=%{dnames:dnames}\s*logtype=%{logtypes:logtypes}\s*pri=%{pris:pris}\s*ver=%{vers:vers}\s*rule_name=%{rule_names:rule_names}\s*mod=%{mods:mods}\s*smac=%{smacs:smacs}\s*dmac=%{dmacs:dmacs}\s*svm=\s*dvm=\s*sa=%{ipaddress:ipaddress}\s*sport=%{sports:sports}\s*type=NULL\s*da=%{daipaddress:daipaddress}\s*dport=%{dports:dports}\s*code=NULL\s*proto=%{protos:protos}\s*policy=%{policys:policys}\s*duration=%{durations:durations}\s*rcvd=%{rcvds:rcvds}\s*sent=%{sents:sents}\s*fwlog=%{fwlogs:fwlogs}\s*dsp_msg=%{dsp_msgs:dsp_msgs}

正则解析:

timestamp \d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}
hostname  \S+
dates  \d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}
dnames  \S+
logtypes  \d{1}
pris  \d{1}
vers \d{1}.\d{1}.\d{1}
rule_names \S+
mods \S+
smacs  \S+
dmacs  \S+
ipaddress  \S+
sports  \S+
daipaddress  \S+
dports \S+
protos  \S+
policys  \S+
durations   \S+
 rcvds   \S+
sents  \S+
fwlogs  \S+
dsp_msgs  \S+
 

饮水思源09
关注
  • 13
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK之本地Grok Debugger配置
試毅-思伟_技术博客
04-11 1281
1、Ruby环境安装 清理已安装过的 #yum erase ruby ruby-libs ruby-mode ruby-rdoc ruby-irb ruby-ri ruby-docs #yum remove ruby 1.Ruby的安装 #yum install -y wget unzip #cd /usr/local #yum -y install openssl-devel gcc #...
grok调试工具使用
喜羊羊love红太狼
06-17 5941
http://doc.yonyoucloud.com/doc/logstash-best-practice-cn/dive_into/write_your_own.html grok表达式 https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/ecs-v1/grok-patterns elk手册 https://anbc.gitbooks.io/elk-handbook/con...
日志解析神器——Logstash中的Grok过滤器使用详解
铭毅天下Elasticsearch
01-23 2025
0、引言在处理日志数据时,我们经常面临将非结构化文本转换为结构化数据的挑战。Logstash 作为一个强大的日志管理工具,提供了一个名为 Grok 的过滤器插件,专门用于解析复杂的文本数据。后文会解读,功能远不止于此......关于 Grok 过滤器插件,咱们之前有过两篇文章讲解:1、干货 | Logstash自定义正则表达式ETL实战2、干货 | Logstash Grok数据结构化ETL实战G...
grokdebug
阿基米德来了的博客
07-29 668
http://grokdebug.herokuapp.com/
使用Docker-compose 搭建GorkDebug
weixin_45284946的博客
08-02 640
一、首先检查docker 版本,查看是否有已经安装过的docker docker要求CentOS 系统的内核版本高于或等于 3.10 ,安装之前首先要验证你的CentOS 版本是否支持 Docker 。 通过uname -r 命令查看你当前的内核版本: 命令: uname -r 执行命令的返回结果 [root@localhost ~]# uname -r 3.10.0-1127.el7.x86_64 二、更新系统 我这里使用的是阿里源 命令: wget -O /etc/yum..
Grok Debugger
wsxqaz的专栏
03-20 1520
http://grokdebug.herokuapp.com/
安装GrokDebuger环境
夏虫不可语冰
12-11 449
安装GrokDebuger环境 文:铁乐与猫 date:2019-12-16 用途 在本地测试Grok的语法,进行调试。 环境 可在windows和linux下安装,而且不需要先安装logstash也可以,但是要用到的grok-patterns可以在己安装logstash的服务器上find找到或github上直接下。 Ruby 2.6.3 Gems 3.0.3 Rails jls-grok grok-parrent 文件(或直接指定到logstsh的相关目录下) 关于安装ruby和gem 我是分开安
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
Grok:深入解析日志与数据的强大工具
最新发布
03-20
grok.Grok是一个强大的工具,主要用于解析和提取日志文件中的字段。它是Logstash最重要的插件之一,通过正则匹配的方式,Grok能够高效地处理和分析日志数据。 Grok的灵活性在于它支持自定义模式。除了使用预定义的...
Grok:深入解析日志与数据的强大工具.zip
03-19
Grok是一种正则表达式的扩展,专为解析和提取结构化日志信息而设计。它的核心概念是“模式”,这些模式由预定义的模式片段(如%{HTTPDATE}或%{NUMBER})和自定义的正则表达式组成,可以灵活地匹配各种格式的日志条目...
GrokDebug离线部署
mvpboss1004的博客
07-10 1080
本文主要参照了http://fengwan.blog.51cto.com/508652/1758845的思路。 GrokDebug是调试Logstash中Grok Filter的工具。虽然有一个在线网站http://grokdebug.herokuapp.com/,但是需要翻墙,而且对于企业内网来说用起来也不方便。本文介绍如何在在可以联网的情况下打好包,然后在隔离环境进行部署,系统为RHEL7.2
grokdebug使用
shengpli′s blog
04-06 936
第一栏填要匹配的字符串第二栏使用自带模版 %{JAVACLASS:my} 或者个人模版 %{TEST:my} 或者自定义别名 (?\w+)第三栏 个人模版,一行一个表达式,如:TEST [0-9]+ TEST2 [A-Z]+示图
Grok Debug ELK 在线调试grok工具
xcl119xcl的专栏
10-23 1415
Grok Debug ELK 在线调试grok工具 千辛万苦找到的groktiao调试工具: http://120.203.18.89:6969/130/grok-debug-elk-%e5%9c%a8%e7%ba%bf%e8%b0%83%e8%af%95grok%e5%b7%a5%e5%85%b7/
Grok Debugger安装配置
Coding Farmer的博客
12-10 2779
前言:由于使用ELK对日志进行集中管理,grok表达式无法验证是否正确,所以使用Grok Debugger进行调试,但是由于国外网站上不去(http://grokdebug.herokuapp.com/),今天去用国内的一个网站发现也进不去了(http://grok.qiexun.net/),好无奈只能自己动手搭建一个了。。。。时间不多,所以附图不多,如果不想安装的话可以使用现成的(http://...
grokdebuggera安装配置
Janloong Do_O
12-19 911
grokdebuggerAuthor : Janloong Do_O 本地化环境搭建 ruby环境安装tar zxf ruby-2.1.7.tar.gz cd ruby-2.1.7./configure --prefix=/usr/local/ruby2.1.7 make && make install echo 'export PATH=/usr/local/ruby2.1.7/bin:$PA
如何搭建自己的grokdebug工具测试logstash语法糖
运维打怪晋级之路
12-02 1848
grokdebug 一个方便的 grok 调试工具,grok 的语法编写起来还是有点吃力的,但是使用grokdebug可以提高我们排查问题的效率,但是服务提供大多数是国外的服务器,我们在墙内服务比较困难,目前grokdebug 提供了docker 版本了
grok语句检测Debugger在线搭建
焱童鞋
10-26 1304
1.安装docker-compose yum -y install python-pip pip install --upgrade pip pip install docker-compose 2.docker-compose.yml version: "3" services: grok: image: epurs/grokdebugger ports: - "80:80" 3.启动 docker-compose up -d 4.访问ht...
grok debugger 正则解析nginx日志
ZLC20050116的博客
07-22 367
地址:https://grokdebug.herokuapp.com/ 1.捞一段nginx的日志 这个是我的nginx日志格式: '$remote_addr [$time_local] "$request" ' '$request_body $status $body_bytes_sent "$http_referer" "$http_user_agent" ' '$...
elk grok debugger
10-20
ELK是一个开源的日志管理平台,它由三个组件组成:Elasticsearch、Logstash和Kibana。其中,Logstash是一个数据收集引擎,它可以从各种来源收集数据,并将其转换为可用于Elasticsearch的格式。Grok是Logstash中的一种插件,它可以帮助用户解析非结构化的日志数据。而Grok Debugger是一个在线工具,可以帮助用户验证和调试Grok表达式。由于国外的Grok Debugger无法访问,因此可以通过安装Grok Debugger来解决这个问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值