logstash接受checkpoint防火墙日志并用ruby分词

Posted 2021-06-18 带着泥土

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了logstash接受checkpoint防火墙日志并用ruby分词相关的知识，希望对你有一定的参考价值。

直接上logstahs配置文件

input{
    syslog{
    type => "syslog"
    port => 514
    }
}
filter {
    grok {
      match => {
                "message" => "\\[%{DATA:log}\\"\\]"
         }
}
    ruby {
                code => "
                        array1 = event.get(\'log\').split(%r{\\";\\s})
                        array1.each do |temp1|
                                if temp1.nil? then
                                        next
                                end
                                array2 = temp1.split(\':\')
                                key = array2[0]
                                value = array2[1]
                                if key.nil? then
                                        next
                                end
                                event.set(key, value)
                        end
                "
                remove_field => [ "log" ]
        }
}
output {
    elasticsearch {
        hosts => "elastic:9200"
        user => "elastic"
        password => "*****"
        index => "smc-%{+yyyy.MM.dd}"
        }
}

以上是关于logstash接受checkpoint防火墙日志并用ruby分词的主要内容，如果未能解决你的问题，请参考以下文章

iptables日志探秘

ELK 6安装配置 nginx日志收集 kabana汉化

checkpoint防火墙升级

checkpoint防火墙CPU飙高报警

paloalto checkpoint防火墙哪个好

Linux安装ELK--Logstash