如何使用ELK和Grok正则过滤Linux系统登录日志

我将介绍如何使用ELK（Elasticsearch、Logstash和Kibana）套件结合Grok正则表达式过滤器来处理Linux系统登录日志文件。

在阿里地区等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供做网站、成都网站设计网站设计制作按需网站策划,公司网站建设,企业网站建设,成都品牌网站建设,成都全网营销,成都外贸网站制作,阿里地区网站建设费用合理。

作为一名系统管理员，我们需要时刻关注服务器的运行状态。其中最重要的就是记录每个用户登录和退出操作以及对应的IP地址。这些信息对于监控安全性、追踪故障等方面都非常有帮助。

然而，在大型企业中，往往会有数百甚至上千台服务器需要管理，手动分析这些日志文件几乎是不可能完成的任务。因此，我们需要一样工具来自动化处理并提取出所需信息。

在本文中，我将介绍如何使用ELK（Elasticsearch、Logstash和Kibana）套件结合Grok正则表达式过滤器来处理Linux系统登录日志文件。

首先，在CentOS或Ubuntu上安装ELK套件，并确保三个组件都已启动运行：

```

sudo systemctl start elasticsearch

sudo systemctl start logstash

sudo systemctl start kibana

接下来，请打开浏览器并输入访问kibana界面进行验证是否成功安装。

接下来请修改logstash.conf配置文件用于收集syslog格式的消息：

input {

file {

path => "/var/log/auth.log"

type => "syslog"

}

filter {

if [type] == "syslog" {

grok {

match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:host} sshd(?:\[%{POSINT:pid}\])?: %{DATA:message}" }

}

date {

match => [ "timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]

output {

elasticsearch { hosts => ["localhost:9200"] index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"}

在这个例子中，我们将使用input插件来读取/var/log/auth.log文件作为输入。然后，我们使用grok过滤器来匹配日志消息并提取出所需信息。最后，输出到elasticsearch进行存储和索引。

现在让我们转到Kibana界面，并创建一个新的Dashboard用于显示登录日志数据：

1. 在左侧导航栏中选择“Visualize”选项卡。

2. 点击“Create a visualization”按钮并选择“Data Table”。

3. 在“Bucket”选项卡下，选择X轴类型为Date Histogram，并设置时间间隔为1小时或更小的值。

4. 在右侧Metric部分添加Count聚合函数以计算每个时间段内登陆次数。

5. 点击保存并返回主页，在左侧导航栏中选择“Dashboard”，创建一个新的dashboard并将刚才创建的table添加到dashboard中。

现在，您可以在Kibana上查看Linux系统登录日志数据的可视化图表了！

本文介绍了如何使用ELK套件和Grok正则表达式过滤器来处理Linux系统登录日志文件。通过这种方式，我们可以自动分析、提取和存储所需信息，并将其可视化呈现。这对于大型企业而言是一个非常有用的工具，也使得系统管理员能够更加轻松地监控服务器运行状态并追踪故障。

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：快上网

成都快上网为您推荐相关内容