@timestamp
* iso8601
* unix
* unix_ms
* tai64n
* joda-time 庫
盡量統一使用utc時間,存成long長整型資料,否則時區問題會很頭疼
字串處理:
1).gsub
2).split
3).join
4).merge
5).strip
6).lowercase/uppercase
字段處理
1).rename
2).update
3).replace
執行次序
1). 需要注意的是,filter/mutate 內部是有執行次序的。其次序如下:
rename(event) if @rename
update(event) if @update
replace(event) if @replace
convert(event) if @convert
gsub(event) if @gsub
uppercase(event) if @uppercase
lowercase(event) if @lowercase
strip(event) if @strip
remove(event) if @remove
split(event) if @split
join(event) if @join
merge(event) if @merge
filter_matched(event)
2). 而 filter_matched 這個 filters/base.rb 裡繼承的方法也是有次序的。
@add_field.each do |field, value|
end
@remove_field.each do |field|
end
@add_tag.each do |tag|
end
@remove_tag.each do |tag|
end配置示例:
filter
}小貼士
geoip 外掛程式的 「source」 字段可以是任一處理後的字段,比如 「client_ip」,但是字段內容卻需要小心!geoip 庫內只存有公共網路上的 ip 資訊,查詢不到結果的,會直接返回 null,而 logstash 的 geoip 外掛程式對 null 結果的處理是:不生成對應的 geoip.欄位。
所以讀者在測試時,如果使用了諸如 127.0.0.1, 172.16.0.1, 182.168.0.1, 10.0.0.1 等內網位址,會發現沒有對應輸出!
過濾器設定編碼
util包中 新增類 characterencodingfilter implementsfilter destroy方法 dofilter方法中 轉換為httpservletrequest httpservletrequest request httpservletrequest req 強轉 設...
Wireshark過濾器語法設定
bpf語法 berkeley packet filter 基於libpcap wincap庫,在抓包的過程中過濾掉某些型別的協議,不抓取過濾掉的協議。建議在流量特別大的情況下使用 型別type host net port 方向dir src dst 協議proto ether ip tcp udp ...
jumpserver設定命令過濾器
一.環境 jumpserver部署方式 docker容器一鍵部署 jumpserver版本 v2.17.2 二.命令過濾器 1.新增 資產管理 命令過濾 新增 2.新增規則 操作剛才建立的命令過濾器容器 設定命令過濾規則 三.設定危險命令告警 系統設定 訊息訂閱 會話管理 危險命令告警 四.驗證 1...