虽然Grok Debugger不会引发错误,但获取Logstash _grokparsefailure
问题描述:
我尝试使用logstash和grok解析Check Point防火墙系统日志日志。日志条目的虽然Grok Debugger不会引发错误,但获取Logstash _grokparsefailure
例子:
<190>2015 Mar 19 12:40:55 fw1 <60031> User admin failed to login (wrong authentication) (Source IP:123.123.123.123 Via:HTTP)
我用这个模式:
<%{POSINT:syslog_pri}>%{YEAR} %{SYSLOGTIMESTAMP:syslog_timestamp} %{DATA:device} <%{POSINT:status}> User %{WORD:account} %{DATA:msg} (?:[(])%{DATA:msg1}(?:[)]) (?:[(])Source IP:%{IPV4:src} Via:%{WORD:protocol}(?:[)])
所有字段进行解析以及和elasticsearch/kibana露面。 Grok Debugger适用于特定的日志/模式组合。但是,我一直收到_grokparsefailure标签。有没有人提示如何摆脱它们?
更新:这是我的完整logstash配置(最相关的部分是“登录失败”块):
input {
syslog {
type => "syslog"
port => 514
}
}
filter {
if [type] == "syslog" {
geoip { source => "host" }
# Firewall rule fired
if [message] =~ "packet" {
grok {
match => [ "message", "<%{POSINT:syslog_pri}>%{YEAR} %{SYSLOGTIMESTAMP:syslog_timestamp} %{DATA:device} <%{POSINT:status}> %{WORD:activity} %{DATA:inout} (?:[(])%{DATA:msg}(?:[)]) Src:%{IPV4:src} SPort:%{POSINT:sport} Dst:%{IPV4:dst} DPort:%{POSINT:dport} IPP:%{POSINT:ipp} Rule:%{INT:rule} Interface:%{WORD:iface}" ]
}
}
# Failed login
else if [message] =~ "failed" {
grok {
match => [ "message", "<%{POSINT:syslog_pri}>%{YEAR} %{SYSLOGTIMESTAMP:syslog_timestamp} %{DATA:device} <%{POSINT:status}> User %{WORD:account} %{DATA:msg} (?:[(])%{DATA:msg1}(?:[)]) (?:[(])Source IP:%{IPV4:src} Via:%{WORD:protocol}(?:[)])" ]
}
}
# Successful login/out
else if [message] =~ "logged" {
mutate {
add_field => [ "userlogged", "%{host}" ]
}
grok {
match => [ "message", "<%{POSINT:syslog_pri}>%{YEAR} %{SYSLOGTIMESTAMP:syslog_timestamp} %{DATA:device} <%{POSINT:status}> User %{DATA:account} %{WORD} %{WORD:action} (?:[(])Source IP:%{IPV4:src} Via:%{WORD:protocol}(?:[)])" ]
}
}
else {
grok {
match => [ "message", "<%{POSINT:syslog_pri}>%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" ]
}
}
}
}
output {
elasticsearch {
host => "localhost"
protocol => "http"
}
}
答
看来,_grokparsefailure由输入插件“系统日志”,它内部还采用甩神交。更换输入块后
input {
tcp {
port => 514
type => syslog
}
udp {
port => 514
type => syslog
}
}
我不再接收失败消息。 This blog post帮了我不少。
答
我得到这个错误,因为我的filter
块在我的input
块之前被声明。
适合我。请显示您的所有Logstash配置。 – 2015-03-19 12:56:41