1. Toy模板网首页
  2. > Toy博客

中间平台工具 - graylog

9月前 作者:sf_jiang 分类:Toy博客 阅读(37) 违法举报

这篇具有很好参考价值的文章主要介绍了中间平台工具 - graylog。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

graylog是非常好用的数据处理平台,可以对数据进行:streams分类、pipeline、正则匹配、统计汇总、定制化配置Alerts 等处理。

graylog的一些概念:

索引(消息存储的位置,默认indices default)

streams(从inputs里面,通过stream rules匹配某些字段条件,route to streams)

1,stream 如何与 inputs 消息关联?

//通过 stream rules 字段匹配做关联,比如需要做falco stream,则可根据 program=Falco做分流

2,stream 如何与 索引 关联?

stream消息存储在指定的索引中,通过 Editing Stream 来指定 索引 Index Set

3,stream 与 pipeline 是什么关系?

如果配置了 pipeline,可以在 pipeline Edit connections 里面指定 stream

伪流程 stream msg -> pipeline rules opr -> stream msg storage index

stream rules 可以为消息填充一些数据字段,比如根据 ip 查 ip负责人等。

rule语句:lookup("cmd_risk_rank_analyze", cmdb64);

其中 cmd_risk_rank_analyze 是数据库表->Lookup Tables 的一个表名

Data Adapter 可以编辑具体发送远程请求的 url

4,pipeline 如何与 alert 关联 ?

配置就可以了,有选择的。

5,graylog 搜索使用正则表达式:

rule:"System procs network activity" AND output_fields_proc_cmdline:/bash -c.*/

注意,/reg表达式/

++++++++++++++++++++
具体问题:

1,如何解析 syslog message 的 fd 字段 ? 

output

17:10:40.381138356: Notice (name=nginx p1=nginx p2=nginx p3=bash p4=docker-containe p5=docker-containe p6=dockerd pid=2518459 user=www loginuid=-1 tty=0 exepath=/usr/local/openresty_1.13.6.2/nginx/sbin/nginx cwd=/data1/htdocs/lua_v2/module/vip_user_idc_cn/ cmdline=nginx fd=10.24.78.203:41590->10.5.121.221:3306 l4p=tcp l3p=4 k8s_vip-user-idc-cn-batcha_vip-user-idc-cn-batcha-7cf754f9f8-65fwc_vipservice_c05b0ae3-0d05-40c8-84f6-511745224560_0 (id=09b5a1b70bc1) container_id=09b5a1b70bc1 image=43.docker.registry.idc.cn/basetechnical/vipservice/vip.user.idc.cn fd.num=1 fd.type=ipv4)

提取规则:
 

Condition
  • Will only attempt to run if the message matches the regular expression fd=[0-9].*->[0-9]
Configuration
  • grok_pattern: %{DATA}\sfd=%{IP:net_sip}:%{BASE10NUM:net_sport}->%{IP:net_dip}:%{BASE10NUM:net_dport}
  • named_captures_only:

那么graylog 日志将新增4个字段,net_sip, net_sport, net_dip, net_dport,表示fd的4元组tupe信息

2,如何根据 net_dip 值,查询连接情报库,如果恶意则设置 threat_result:"threat" 字段?

2.1 首先配置 lookup Tables

Lookup Tables

Lookup tables can be used in extractors, converters and processing pipelines to translate message fields or to enrich messages.

查询威胁情报信息

根据ip,域名,MD5查询威胁情报

Data adapter

威胁情报查询

Cache

NotCache

Edit

主要是配置 Cache 方式 以及 Data adapter 

威胁情报查询 (HTTP JSONPath)

Description

从威胁情报中心查询数据

Configuration

Lookup URL

http://10.5.140.173:13469/ThreatIntelligence/gpget?value=${key}

Single value JSONPath

$.res

Multi value JSONPath

$

2.2 再配置 Pipeline
pipeline 是非常强大的,分有多个stage,每个stage可以设置field值,在下一个stage中使用

pipeline 规则:

rule "connect_public_ip_search_threat_intelligence"

when
    $message.gprule == "outbound connection" AND 
    to_string($message.net_dip, "unknown") != to_string($message.net_sip, "unknown")
then
    let key = join(["ip", to_string($message.net_dip, "unknown")], "-");
    let threati = lookup("threatintelligence_search", key);
    set_field("threat_result", threati["res"]);
    set_field("threat_result_from", threati["from"]);
    set_field("threat_level", threati.extra.confidence_level);
    set_field("threat_info", threati.extra.judgments);
    set_field("threat_severity", threati.extra.severity);
end
 

2.3 总的数据流程

streams -> Pipeline connections -> stageN (rules)

+++++++++++++++++++++
graylog问题的一些排查:

@1,node节点端口有数据,但是界面上查询不到数据?

可能是 Nodes 节点挂了,需要重启:
ps axuf | grep graylog
rm -f /dev/shm/graylog.pid
kill -9 [graylog PID]

执行 /usr/local/graylog/bin/graylogctl start

+++++++++++++++++++++++
graylog(ES)的一些查询技巧例子:
​​​​​​​threat_result:"threat" AND NOT net_dip:/10\..*/ AND NOT busi2_name:"安全扫描" AND NOT busi_name:/.*竞品监控服务.*/ AND NOT output_fields_proc_cmdline:(/ping .*/ OR /nmap .*/ OR /HttpProxy .*/ OR /nginx/ OR /.*b-monitor.*/) AND ((threat_level:"high" AND threat_severity:"high") OR (NOT threat_result_from:"weibu"))文章来源地址https://www.toymoban.com/news/detail-655919.html

到了这里,关于中间平台工具 - graylog的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 配置zabbix平台对数据库以及主从状态的监控

    配置zabbix平台对数据库以及主从状态的监控

    # rpm -Uvh https://repo.zabbix.com/zabbix/5.0/rhel/7/x86_64/zabbix-release-5.0-1.el7.noarch.rpm # yum clean all # yum install zabbix-agent -y # systemctl start zabbix-agent # systemctl enable zabbix-agent 创建zabbix_proxy 库并设置字符集 mysqlcreate database zabbix_proxy character set utf8 collate utf8_bin; 创建用户zabbix和密码并设置登录范

    2024年01月21日
    浏览(46)
  • Windows平台上达梦数据库的ODBC安装与配置

    Windows平台上达梦数据库的ODBC安装与配置

    最近很多公司都在响应信创,需要切换到国产数据库,然而很多数据库的一些基础组件的使用都没有一个很明确的官方文档。为了避免更多的人踩坑,本人将踩过的坑总结成博文,分享给大家。在此文中我将一步步带领大家安装和配置达梦数据库的ODBC驱动。 达梦数据库没有

    2024年02月03日
    浏览(40)
  • 【Ubuntu】简洁高效企业级日志平台后起之秀Graylog

    【Ubuntu】简洁高效企业级日志平台后起之秀Graylog

    Graylog 是一个用于集中式日志管理的开源平台。在现代数据驱动的环境中,我们需要处理来自各种设备、应用程序和操作系统的大量数据。Graylog提供了一种方法来聚合、组织和理解所有这些数据。它的核心功能包括流式标记、实时搜索、仪表板可视化、告警触发、内容包快速

    2024年02月12日
    浏览(47)
  • smartsofthelp 5.0 最专业的数据库优化工具,数据库配置优化,数据库高并发优化,SQL 语句优化...

    smartsofthelp 5.0 最专业的数据库优化工具,数据库配置优化,数据库高并发优化,SQL 语句优化...

      下载地址:百度网盘 请输入提取码 SQL操作返回历史记录: 2023-08-21 20:42:08:220  输入:select @@version as 版本号 2023-08-21 20:42:08:223  输出:当前数据库实例版本号:Microsoft SQL Server 2012 - 11.0.2100.60 (X64)      Feb 10 2012 19:39:15      Copyright (c) Microsoft Corporation     Developer Edition (

    2024年02月12日
    浏览(59)

  • 数据库中间件对比

    相当于把中间件作为一个独立的服务了,它将接收到的SQL 语句做了一些特定的分析:如分片分析、路由分析、读写分离分析、缓存分析等,然后将此 SQL 发往后端的真实数据库,并将返回的结果做适当的处理,最终再返回给用户。 中间件在Driver或者连接池的基础之上,增加了

    2024年02月12日
    浏览(52)
  • ShardingSphere数据库中间件

    ShardingSphere数据库中间件

    数据库中的数据量猛增,访问性能也变慢了,优化迫在眉睫 ? 1. 关系型数据库本身比较容易成为系统瓶颈:单机存储容量、数据库连接数、处理能力都有限。 2. 当单表的数据量达到 1000W 或 100G 以后,由于查询维度较多,即使做了优化索引等操作, 查询性能仍下降严重。 方案

    2024年01月23日
    浏览(54)
  • logstack 日志技术栈-04-opensource 开源工具 SigNoz+Graylog

    logstack 日志技术栈-04-opensource 开源工具 SigNoz+Graylog

    SigNoz 是一个日志收集和分析工具,可以收集和管理来自各种来源的日志、指标、跟踪和异常。 它为使用 OpenTelemetry 检测应用程序提供本机支持,以防止供应商锁定,将收集到的数据存储在 ClickHouse 中,然后在用户友好的仪表板中聚合和可视化数据。 借助 SigNoz,您可以使用其

    2024年01月22日
    浏览(42)
  • graylog集群(es+mongo+graylog-sidecar+nginx负载均衡) 全docker配置(3节点)

    graylog集群(es+mongo+graylog-sidecar+nginx负载均衡) 全docker配置(3节点)

    注:初始环境等跳过配置 node1 192.168.1.100 mongo:latest elasticsearch-oss:7.10.2 graylog:4.3 node2 192.168.1.101 mongo:latest elasticsearch-oss:7.10.2 graylog:4.3 node3 192.168.1.102 mongo:latest elasticsearch-oss:7.10.2 graylog:4.3  4.1登陆graylog查看system/nodes节点 4.2graylog-sidecar收集日志 创建收集日志的Inputs 建立输入:

    2023年04月09日
    浏览(33)

  • Jasypt 数据库及中间件密码加解密

    9一、引入jar包 二、新增JasyptUtils工具类 三、修改application.yml 将加密后密码替换值yml文件ENC()括号内

    2024年02月13日
    浏览(46)
  • 【go-zero】(1):尝试使用go-zero的工具goctl进行model,controller代码生成,配置数据库,实现FindAll方法,查询数据库全部数据

    【go-zero】(1):尝试使用go-zero的工具goctl进行model,controller代码生成,配置数据库,实现FindAll方法,查询数据库全部数据

    本文的原文连接是: https://blog.csdn.net/freewebsys/article/details/128707849 未经博主允许不得转载。 博主CSDN地址是:https://blog.csdn.net/freewebsys 博主掘金地址是:https://juejin.cn/user/585379920479288 博主知乎地址是:https://www.zhihu.com/people/freewebsystem 项目地址: https://go-zero.dev/cn/ go-zero 是一个集

    2023年04月24日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包