如何使用logstash解析捕获的数据？_Logstash_Packet Capture

如何使用logstash解析捕获的数据？

logstash

如何使用logstash解析捕获的数据？,logstash,packet-capture,Logstash,Packet Capture,我有一个用于cyberoam的麋鹿堆栈，我想用logstash解析此消息。您能帮我吗 "<30>date=2017-02-19 time=21:59:15 timezone=\"IST\" device_name=\"CR200iNG\" device_id=C20313272882-BQ2EUG log_id=010302602002 log_type=\"Firewall\" log_component=\"Appliance Access\" log_subtype=\"Den

我有一个用于cyberoam的麋鹿堆栈，我想用logstash解析此消息。您能帮我吗

"<30>date=2017-02-19 time=21:59:15 timezone=\"IST\" device_name=\"CR200iNG\" device_id=C20313272882-BQ2EUG log_id=010302602002 log_type=\"Firewall\" log_component=\"Appliance Access\" log_subtype=\"Denied\" status=\"Deny\" priority=Information duration=0 fw_rule_id=0 user_name=\"\" user_gp=\"\" iap=0 ips_policy_id=0 appfilter_policy_id=0 application=\"\" application_risk=0 application_technology=\"\" application_category=\"\" in_interface=\"PortF\" out_interface=\"\" src_mac=dd:dd:dd:02:1c:e4 src_ip=192.168.200.9 src_country_code= dst_ip=255.255.255.255 dst_country_code= protocol=\"UDP\" src_port=32771 dst_port=7423 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype=\"\" srczone=\"\" dstzonetype=\"\" dstzone=\"\" dir_disp=\"\" connid=\"\" vconnid=\"\"",

看看这里的格式，它看起来最适合这里

filter {
  kv {
    source => "message"
    add_tag => [ 'cyberoam' ]
  }
}

kv

过滤器将把

key1=value key2=value

集合分割成一个字符串，并将它们转换为字段。这似乎很适合你。可以使用

exclude\u Keys=>['key1'，'key2']

指定您知道不想包含的键。我使用的是以下命令：kv{source=>“syslog\u message”}mutate{replace=>[“type”，“%{syslog\u program}]remove\u field=>[“syslog\u message”，“syslog\u timestamp”]gsub=>[“message”，“=”，“=”，“=””