Тестирование фильтров Logstash перед внедрением

Безопасность иконка

В этой небольшой статье покажу, как использовать Logstash для обнаружения одиночных или множественных предупреждений в логах и добавления соответствующего поля.

Еще по теме: Защита от уязвимости Log4Shell

Что такое Logstash

Logstash — это инструмент для сбора, обработки и передачи данных в реальном времени, который является частью стека Elastic Stack. Он принимает данные из различных источников, таких как логи, метрики и сетевые потоки, обрабатывает их с помощью фильтров и отправляет в хранилище данных, например, в Elasticsearch.

Logstash поддерживает множество форматов данных и протоколов, что делает его гибким и мощным решением для агрегации и обработки больших объемов информации в системах мониторинга и анализа.

Тестирование фильтров Logstash перед внедрением

Представим, что у нас есть два JSON-файла с логами. Один содержит множественные предупреждения, а другой — одиночное. Вот как они выглядят:

Файл с множественными предупреждениями (multivaluewarn.json):

Файл с одиночным предупреждением (singlevaluewarn.json):

Заметим, что в поле [waf][warnMsg] предупреждения разделяются точкой с запятой ( ;) в случае множественных предупреждений.

Теперь создадим конфигурацию для Logstash, которая будет обрабатывать эти логи:

Сохраним эту конфигурацию в файл warningPipeline.conf и запустим Logstash с этой конфигурацией:

В результате мы увидим новое поле wafWarningMSG со значением multi warnings:

Эта конфигурация позволяет легко определять, содержит ли лог одиночное или множественные предупреждения. Это может быть полезно для дальнейшего анализа и обработки логов, например, для приоритизации событий безопасности или для более детального исследования множественных предупреждений.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий