1

使用 ELK (Elasticsearch-Logstash-Kibana) 堆栈,我将 syslog 日志从 *nix 盒子收集到 Logstash,并通过 Elasticsearch 将其发送到 Kibana。这是经典的一种情况。

我的 syslog 日志包括正常系统事件、squid 访问日志、captiveportal 登录日志等。captiveportal 记录为

1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first

鱿鱼访问日志记录为:

1423562965.228    482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml

在 Logstash 中,我过滤了强制门户日志,并且client_ip="192.168.1.23"得到user_name="mike.brown"src_ip="192.168.1.23".

我的问题是:如何查询获取用户名,其中 squid 访问日志的 client_ip 等于 Kibana 中强制门户的 src_ip?

4

1 回答 1

1

您不能在弹性搜索中进行连接。他们在本文档中讨论了一些关系选项。

于 2015-02-10T23:55:46.180 回答