【发布时间】:2016-04-01 15:53:58
【问题描述】:
我想从 dnsmasq 收集和处理日志,我决定使用 ELK。 Dnsmasq 用作 DHCP 服务器和 DNS 解析器,因此它为这两种服务创建日志条目。
我的目标是向 Elasticsearch 发送带有请求者 IP、请求者主机名(如果可用)和请求者 mac 地址的所有 DNS 查询。这将允许我将每个 MAC 地址的请求分组,无论设备 IP 是否更改,并显示主机名。
我想做的是:
1) 阅读以下条目:
Mar 30 21:55:34 dnsmasq-dhcp[346]: 3806132383 DHCPACK(eth0) 192.168.0.80 04:0c:ce:d1:af:18 air
2) 暂存关系:
192.168.0.80 => 04:0c:ce:d1:af:18
192.168.0.80 => 空气
3) 丰富如下条目,添加mac地址和主机名。如果主机名是空的,我会添加mac地址。
Mar 30 22:13:05 dnsmasq[346]: query[A] imap.gmail.com from 192.168.0.80
我找到了一个名为 “memorize” 的模块,可以让我存储它们,但不幸的是,它不适用于最新版本的 Logstash
我正在使用的版本:
ElastiSearch 2.3.0
Kibana 4.4.2
Logstash 2.2.2
还有 logstash 过滤器(这是我第一次尝试使用 logstash,因此我确信配置文件可以改进)
input {
file {
path => "/var/log/dnsmasq.log"
start_position => "beginning"
type => "dnsmasq"
}
}
filter {
if [type] == "dnsmasq" {
grok {
match => [ "message", "%{SYSLOGTIMESTAMP:reqtimestamp} %{USER:program}\[%{NONNEGINT:pid}\]\: ?(%{NONNEGINT:num} )?%{NOTSPACE:action} %{IP:clientip} %{MAC:clientmac} ?(%{HOSTNAME:clientname})?"]
match => [ "message", "%{SYSLOGTIMESTAMP:reqtimestamp} %{USER:program}\[%{NONNEGINT:pid}\]\: ?(%{NONNEGINT:num} )?%{USER:action}?(\[%{USER:subaction}\])? %{NOTSPACE:domain} %{NOTSPACE:function} %{IP:clientip}"]
match => [ "message", "%{SYSLOGTIMESTAMP:reqtimestamp} %{USER:program}\[%{NONNEGINT:pid}\]\: %{NOTSPACE:action} %{DATA:data}"]
}
if [action] =~ "DHCPACK" {
}else if [action] == "query" {
}else
{
drop{}
}
}
}
output {
elasticsearch { hosts => ["localhost:9200"] }
stdout { codec => rubydebug }
}
问题:
1) 插件“memorize” 是否可以使用最新的logstash 版本?另一个插件或不同的程序。
2)我应该将logstash降级到2之前的版本(我认为之前是1.5.4)?如果是这样,是否有任何已知的服务器问题或与 elasticsearch 2.2.1 不兼容?
3) 或者我应该修改允许logstash 2.x 的“记忆”插件(如果是这样,我会感谢任何关于如何开始的指针)?
【问题讨论】:
-
看起来记忆过滤器只保留事件的最后一个值。这对你有用吗?
-
记忆会很完美,但不适用于logstash 2.x
-
通过改变依赖号可以安装memorize。或者直接从:https://github.com/jofrep/logstash-filter-memorize 安装它。我试过了,它似乎有效。
-
这是我的尝试。是我的回购。但我没有安装它。很高兴知道你是怎么做到的
-
有点有趣 :) 我用我让它工作的方式来回答它。希望有所帮助。
标签: elasticsearch logstash elastic-stack logstash-configuration