ElasticSearch
curator
curator脚本
ElasticSearch安装
elasticsearch-5.4.1集群部署
zabbix实现暴力破解登录密码告警
ELK同步MySQL数据
ELK-分析Mysql慢查询日志
elasticsearch索引合并
Kibana开发工具
基本使用
Elastic接口调用样例
创建用户
本文档使用 MrDoc 发布
-
+
首页
zabbix实现暴力破解登录密码告警
# logstash安装zabbix模块 ``` logstash-plugin install logstash-output-zabbix ``` # logstash配置 ``` # 输入 input { file { # 监听的文本路径 path => ["/var/log/secure"] # 检查时间戳 start_position => "beginning" } } # 日志过虑 filter { # 通过正则表达式分割secure日志内容 grok { match => { "message" => "%{SYSLOGTIMESTAMP:message_timestamp} %{SYSLOGHOST:hostname} %{DATA:message_program}(?:\[%{POSINT:messag e_pid}\])?: %{GREEDYDATA:message_content}" } } # 添加zabbix标签 mutate { add_field => [ "[zabbix_key]" , "securelog" ] add_field => [ "[zabbix_host]" , "%{host}" ] } # 删除无用标签 mutate { remove_field => "@version" remove_field => "message" remove_field => "type" remove_field => "path" remove_field => "host" remove_field => "hostname" } } # 输出到zabbix output { # 判断是否为错误日志 if [message_content] =~ /(ERR|error|ERROR|Failed)/ { # 输出到控制台测试使用 # stdout { codec =>rubydebug } zabbix { # 使用上面的标签 zabbix_host => "[zabbix_host]" zabbix_key => "[zabbix_key]" # zabbix 主机配置 zabbix_server_host => "192.168.100.101" zabbix_server_port => "10051" # 输出的值 zabbix_value => "message_content" } } } ``` # zabbix触发器表达式 ``` {zabbix logstash:securelog.strlen()} > 5 ```
zhangky
2021年5月15日 16:29
分享文档
收藏文档
上一篇
下一篇
微信扫一扫
复制链接
手机扫一扫进行分享
复制链接
关于 MrDoc
觅思文档MrDoc
是
州的先生
开发并开源的在线文档系统,其适合作为个人和小型团队的云笔记、文档和知识库管理工具。
如果觅思文档给你或你的团队带来了帮助,欢迎对作者进行一些打赏捐助,这将有力支持作者持续投入精力更新和维护觅思文档,感谢你的捐助!
>>>捐助鸣谢列表
微信
支付宝
QQ
PayPal
Markdown文件
分享
链接
类型
密码
更新密码