专栏首页用户7614879的专栏使用Logstash接收Netflow日志并发送到syslog服务器

使用Logstash接收Netflow日志并发送到syslog服务器

接受90端口的netflow日志,解析netflow中的源IP、端口、目的IP、端口,并输出syslog到任意端口

netflow日志格式:

{ "netflow" => { "last_switched" => "2020-05-28T02:39:13.781Z", "dst_as" => 0, "in_bytes" => 183, "ipv4_src_addr" => "120.92.11.28", #源IP "protocol" => 6, "ipv4_next_hop" => "172.16.10.10", "input_snmp" => 1, "version" => 9, "flowset_id" => 265, "src_as" => 0, "tcp_flags" => 24, "first_switched" => "2020-05-28T02:39:13.781Z", "flow_seq_num" => 2488, "l4_src_port" => 7823, # 源端口 "output_snmp" => 2, "direction" => 0, "in_pkts" => 1, "ipv4_dst_addr" => "192.168.80.15", #目的IP "src_mask" => 0, "dst_mask" => 16, "flow_sampler_id" => 0, "src_tos" => 0, "l4_dst_port" => 53367 #目的端口 }, "host" => "88.88.88.88", "@timestamp" => 2020-05-28T02:39:37.000Z, "@version" => "1" } 详细字段说明: https://www.ibm.com/support/knowledgecenter/en/SSCVHB_1.2.2/collector/cnpi_collector_v9_fiels_types.html 安装syslog输出插件 bin/logstash-plugin install logstash-output-syslog

input {
  udp {
    port  => 90
    codec => netflow
  }
}
filter{
  mutate {
    rename => { "[netflow][ipv4_src_addr]" => "src_ip"
    "[netflow][l4_src_port]"=> "src_port"
    "[netflow][ipv4_dst_addr]"=>"dst_ip"
    "[netflow][l4_dst_port]"=>"dst_port"
    }
    remove_field => ["netflow"]
  }
}
output {
#  stdout{
#    codec => rubydebug
#  }
  syslog {
    host => "192.168.100.123" 
    port => 16060
 }
}

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 微服务架构中进行日志采集以及统一处理

    微服务各个组件的相关实践会涉及到工具,本文将会介绍微服务日常开发的一些利器,这些工具帮助我们构建更加健壮的微服务系统,并帮助排查解决微服务系统中的问题与性能瓶颈...

    aoho求索
  • 三种姿势轻松采集 Nginx 日志

    由于nginx功能强大,性能突出,越来越多的web应用采用nginx作为http和反向代理的web服务器。而nginx的访问日志不管是做用户行为分析还是安全分析...

    kubernetes中文社区
  • 如何在Ubuntu 14.04上使用Rsyslog,Logstash和Elasticsearch集中日志

    了解组织生成的数百万条日志行是一项艰巨的挑战。一方面,这些日志行提供了应用程序性能,服务器性能指标和安全性的视图。另一方面,日志管理和分析可能非常耗时,这可能会...

    八十岁的背影
  • 通过 filebeat、logstash、rsyslog 采集 nginx 日志的几种方式

    由于nginx功能强大,性能突出,越来越多的web应用采用nginx作为http和反向代理的web服务器。而nginx的访问日志不管是做用户行为分析还是安全分析...

    业余草
  • 如何在Ubuntu 16.04上安装Elasticsearch,Logstash和Kibana(ELK Stack)

    在本教程中,我们将介绍在Ubuntu 16.04上安装Elasticsearch ELK Stack(即Elasticsearch 2.3.x,Logstash...

    黑色技术
  • 如何在Ubuntu 14.04上安装Elasticsearch 1.7,Logstash 1.5和Kibana 4.1(ELK Stack)

    在本教程中,我们将在Ubuntu 14.04上重新安装Elasticsearch ELK Stack,即Elasticsearch 1.7.3,Logstash...

    水门
  • 如何在CentOS 7上安装Elasticsearch,Logstash和Kibana

    在本教程中,我们将介绍在CentOS 7上安装Elasticsearch ELK Stack,即Elasticsearch 2.2.x,Logstash 2.2...

    物花无语
  • 通过nginx配置发送syslog到logstash

    具体配置如下:在nginx的配置文件nginx.conf中 在server下配置access_log和error_log的输出方式

    用户8671053
  • 如何在CentOS 7上安装Elasticsearch 1.7,Logstash 1.5和Kibana 4.1(ELK Stack)

    在本教程中,我们将介绍在CentOS 7上安装Elasticsearch ELK Stack,即Elasticsearch 1.7.3,Logstash 1.5...

    苏子晨
  • ELK之Logstash简单介绍 转

    https://www.elastic.co/products/logstash

    wuweixiang
  • CentOS7上安装Elasticsearch+Logstash+Kibana日志管理系统

    集中日志记录在尝试识别服务器或应用程序的问题时非常有用,因为它允许您在单个位置搜索所有日志。它也很有用,因为它允许您通过在特定时间范围内关联其日志来识别跨多个服...

    菲宇
  • 如何在CentOS 7上安装Elasticsearch,Logstash和Kibana(ELK堆栈)

    版权声明:本文为木偶人shaon原创文章,转载请注明原文地址,非常感谢。 https://b...

    shaonbean
  • 通过filebeat采集日志到logstash再送到ES

    首先得安装 logstash ,安装完后在logstash的安装目录下新建vi filebeat-pipeline.conf filebeat-pipeline...

    用户8671053
  • 开源实时日志分析ELK平台部署

    日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务...

    小小科
  • 搭建ELK日志分析平台(下)—— 搭建kibana和logstash服务器

    笔记内容:搭建ELK日志分析平台——搭建kibana和logstash服务器 笔记日期:2018-03-03

    端碗吹水
  • 利用ELK搭建Docker容器化应用日志中心

    慕白
  • 十大Docker记录问题

    Docker不仅改变了应用程序的部署方式,还改变了日志管理的工作流程。容器将日志写入控制台(stdout / stderr),而Docker Logging D...

    February
  • 利用 ELK 搭建 Docker 容器化应用日志中心

    应用一旦容器化以后,需要考虑的就是如何采集位于 Docker 容器中的应用程序的打印日志供运维分析。典型的比如SpringBoot应用的日志收集。

    Criss@陈磊
  • 日志收集工具简单对比

    常见_youmen

扫码关注云+社区

领取腾讯云代金券