【发布时间】:2015-04-10 08:43:24
【问题描述】:
使用 ELK (Elasticsearch-Logstash-Kibana) 堆栈,我将 syslog 日志从 *nix 盒子收集到 Logstash,并通过 Elasticsearch 将其发送到 Kibana。这是经典的一种场景。
我的 syslog 日志包括正常系统事件、squid 访问日志、captiveportal 登录日志等。 captiveportal 记录为
1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first
和
squid 访问日志记录为:
1423562965.228 482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml
在 Logstash 中,我过滤了强制门户日志,我得到了 client_ip="192.168.1.23"、user_name="mike.brown",并且在 Logstash 配置中的不同过滤器中,我还过滤了 squid 访问日志,并且我得到了 src_ip="192.168.1.23"。
我的问题是:如何查询获取用户名,其中 squid 访问日志的 client_ip 等于 Kibana 中强制门户的 src_ip?
【问题讨论】:
标签: logging elasticsearch logstash kibana elastic-stack