首页 > 其他分享 >graylog

graylog

时间:2023-08-04 17:33:05浏览次数:45  
标签:regex set string graylog result message geo

pipeline rule

rule "GeoIP lookup: zimbra_auth_failure"
when
  regex("^warning\\:\\sunknown\\[(.+?)\\]\\:\\sSASL\\sLOGIN\\sauthentication\\sfailed\\:\\sauthentication\\sfailure$", to_string($message.message)).matches == true
then
  let result = regex("^warning\\:\\sunknown\\[(.+?)\\]\\:\\sSASL\\sLOGIN\\sauthentication\\sfailed\\:\\sauthentication\\sfailure$", to_string($message.message));
  let geo = lookup("geoip", result["0"]);
  set_field("src_ip_geo_location", geo["coordinates"]);
  set_field("src_ip_geo_country", geo["country"].iso_code);
  set_field("src_ip_geo_city", geo["city"].names.en);
end

# 替换timestamp值,貌似不好使, 用Extroc
rule "replace timestamp"
when
  regex("(^[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2})", to_string($message.message)).matches == true
then
  let result = regex("([0-9]{4}-[0-9]{2}-[0-9]{2}\\s[0-9]{2}:[0-9]{2}:[0-9]{2}.[0-9]{3})", to_string($message.message));
  let new_time = parse_date(to_string(result["0"]), "yyyy-MM-dd'T'HH:mm:ss.SSS'Z'");
  set_field("timestamp", new_time);
end

利用Extroctor把filebeat@timestame的时间替换为日志时间

必须转换为时间格式,否则es存不进去
system->input->manager extractors> add extractor

标签:regex,set,string,graylog,result,message,geo
From: https://www.cnblogs.com/minorblog/p/17606569.html

相关文章

  • graylog5.1安装(Centos7)
    官网安装地址:https://go2docs.graylog.org/5-1/downloading_and_installing_graylog/red_hat_installation.htm?tocpath=Downloading%20and%20Installing%20Graylog%7CInstalling%20Graylog%7C_____6一、需要安装的组件OpenJDK17(5.0以上版本的graylog已内置,无需安装)OpenSe......
  • 使用graylog rest api查询日志
    由于项目需要,调研使用graylog收集项目操作日志,并使用api查询日志python代码if__name__=='__main__':importrequestssearch_content={"query_string":{"type":"elasticsearch","query_string&q......
  • 开源日志平台GrayLog5.1.2一键安装脚本
    开源日志平台GrayLog5.1.2一键安装脚本原创 yuanfan2012 WalkingCloud 2023-06-1100:35 发表于浙江收录于合集#Linux学习笔记323个#CentOS7141个#Graylog40个#运维安全38个#开源64个GrayLog5.1.2一键安装脚本在原文章的基础下制作了此一键安装脚本CentO......
  • Ubuntu20.04部署Graylog
    让我们在UbuntuServer20.04上安装Graylog。准备工作UbuntuServer20.04的实例具有sudo特权的用户1、如何更新和升级Ubuntu我们必须做的第一件事是更新和升级服务器......
  • graylog docker-compose 安装yaml
    graylog是一款日志工具docker-compose部署version:'3'services:#MongoDB:https://hub.docker.com/_/mongo/mongo:image:mongo:5.0.13networks:......
  • graylog5_被动接受Nginx日志的单机部署流程
    一、安装与部署设备信息:Centos7garylog版本:graylog5.0graylog5.0需要的组件以及版本要求:OpenJDK17(embeddedinthe5.0installationfile):这个graylog自带的不用......
  • graylog 5.0 发布了
    graylog5.0最近ga发布了,包含了不少新特性(ui变化,新参考文档)参考运行docker-compose文件version:'3'services:mongo:image:mongo:5.0.1......
  • nginx + graylog 对于日志进行管理的一个实践
    以下整理一个自己结合ngin+graylog进行日志处理的实践,可以参考日志参考玩法   参考配置logformat参考如下,可以配置一些符合自己业务的logformat不同业务......
  • graylog 新版本报警处理
    graylog的报警编码上并不是很难,核心就是一个job,然后对于event进行关联聚合查询,之后对于符合规则的event触发不同的报警规则(邮件,http,遗留模式)几个核心参考类功能job......
  • graylog 索引数据查询处理简单说明
    参考请求地址从ui看到的,类似一个job的执行,支持异步以及同步数据查询处理,还包含了相对时间、绝对时间查询的/api/views/search/<id>/execute/api/views/s......