Пересылать журналы брандмауэра с сервера системного журнала kiwi на elasticsearch?

Question

Пересылать журналы брандмауэра с сервера системного журнала kiwi на elasticsearch?

Я установил Kiwi Syslog Server, на котором я собираю журналы трафика Sonicwalls Firewall, но я хочу получить доступ к этим журналам через любой API или отправить их на elasticsearch. Есть ли способ настроить logstash и elasticsearch для сбора журналов брандмауэра с сервера системного журнала kiwi, на котором мы собираем журналы?

0

elasticsearch networking logstash syslog solarwindslem

Источник

user13090273 04 май '21 в 07:45

2 ответа

Другие вопросы по тегам elasticsearch networking logstash syslog solarwindslem

user3415365 04 май '21 в 09:04 2021-05-04 09:04 · Answer 1 · 2021-05-04 09:04

На мой взгляд у вас есть два варианта

пусть Logstash читает вывод txt-файла сервера системного журнала kiwi
- Это будет вариант, если вы делаете другие вещи с системными журналами, а затем отправляете их в Elasticsearch.
Используйте вход Logstash Syslog и пусть Logstash прослушивает события syslog, обрабатывает их и отправляет в Elasticsearch [информацию о входных данных Logstash Syslog можно найти здесь ]
- Это означает, что вы избавитесь от киви.

user1123206 04 май '21 в 16:01 2021-05-04 16:01 · Answer 2 · 2021-05-04 16:01

Вы не можете отправлять напрямую в elasticsearch, но вы можете настроить Kiwi для пересылки журналов в другое место, если вы настроите logstash для получения этого журнала, вы можете затем отправить его в elasticsearch.

Вы можете использовать udp, tcpили ввода для этого, основное отличие заключается в том, что использование ввода поможет при синтаксическом анализе, но сообщение системного журнала должно соответствовать формату, указанному в RFC , я не уверен, что это так с Kiwi.

Чтобы использовать syslog input вам просто нужна такая конфигурация.

      input {
    syslog {
        port => "port-to-listen-to"
    }
}

output {
    elasticsearch {
        your-elasticsearch-output
    }
}