码迷,mamicode.com
首页 > 其他好文 > 详细

logstash客户端传送symantec日志到elasticsearch

时间:2020-12-25 12:34:22      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:last   app   start   发送   log   elastic   remove   output   cse   

一、安装相应版本的logstash

wget https://artifacts.elastic.co/downloads/beats/logstash/logstash-7.5.2-x86_64.rpm
rpm -ivh logstash-7.5.2-x86_64.rpm

二、配置rsyslog接收Symantec发送的日志

三、logstash的相关配置

vim /etc/logstash/conf.d/symantec,conf
 # 这里的elasticsearch我是加密了的
input {
    file {
        path => ["/var/log/symantec/*.log"]
        start_position => "beginning"
    }
 }
filter {
    grok {
        match => { "message" => "%{TIME:time} %{WORD:server} %{WORD:sevice}\: %{DATA:event}\,IP 地址: %{IP:ip}\,计算机名: %{DATA:computername},源:%{DATA:source},风险名称: %{DATA:riskname},出现次数: %{DATA:existtimes},文件路径: %{DATA:path},应用程序名: %{DATA:appname}," }
        remove_field => ["message"]
    }
}
output {
        elasticsearch {
                hosts => ["172.20.0.118:9200"]
                user => "elastic"
                password => "Spring01"
                index => "netsec_symantec-%{+yyyy.MM.dd}"
        }
}

systemctl start logstash齐活

logstash客户端传送symantec日志到elasticsearch

标签:last   app   start   发送   log   elastic   remove   output   cse   

原文地址:https://www.cnblogs.com/obitoma/p/14166363.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!