pipe

发表于 | 分类于

graylog 是一个基于流式计算的框架

Pipe 日志流解析

日志规则

1
2
3
4
5
6
7
rule "fhq11"
when
    contains(value: to_string($message.message), search: "<1>rule_id", ignore_case: false)
then
    let f = key_value(to_string($message.message), ";" , ":");
    set_fields(f);
end

日志原文

1
<1>rule_id:6;time:2018-12-13 09:33:18;module:fw;src_intf:G1/3;dst_intf:G2/1;action:accept;proto:udp;src_addr:192.168.211.168;src_port:64410;dst_addr:59.208.246.9;dst_port:53;src_addr_nat:59.208.75.22;src_port_nat:64410;dst_addr_nat:59.208.246.9;dst_port_nat:53;info:;user:

日志触发

1
echo "<1>rule_id:6;time:2018-12-13 09:33:18;module:fw;src_intf:G1/3;dst_intf:G2/1;action:accept;proto:udp;src_addr:192.168.211.168;src_port:64410;dst_addr:59.208.246.9;dst_port:53;src_addr_nat:59.208.75.22;src_port_nat:64410;dst_addr_nat:59.208.246.9;dst_port_nat:53;info:;user:" | nc -t 10.113.1.26 1234