0

1.大家好,我正在尝试将 AWS WAF 日志从 S3 传输到 Elastic Search,同时创建索引我给出索引前缀,然后在选择时间戳时,这就是我得到的 参考图像 1

2.然后我在网上参考了一些解决方案https://github.com/awslabs/amazon-kinesis-agent/issues/108根据链接中的解决方案,我也添加了映射模板,这就是我添加的内容:

PUT /lb*/_mapping
 {

            "properties":{
                "timestamp":{
                    "type":"date",
                    "format":"dd/MMM/YYYY HH:mm:ss,SSS"
                }
            }
        }

3.在选择时间戳的同时添加模板后,时间戳出现在此 参考图 2

  1. 创建索引后的 Atlast 这就是我得到的 参考图像 3

不知道我错过了什么。请帮帮我。

4

1 回答 1

0

对于时间戳映射,它应该是这样的

PUT  _template/awswaf-logs
    {
        "index_patterns": ["awswaf-*"],
        "settings": {
        "number_of_shards": 1
        },
        "mappings": {
          "waflog": {
            "properties": {
              "httpRequest": {
                "properties": {
                  "clientIp": {
                    "type": "keyword",
                    "fields": {
                      "keyword": {
                        "type": "ip"
                      }
                    }
                  }
                }
              },
              "timestamp": {
                "type": "date",
                "format": "epoch_millis"
              }
          }
        }
      }
    }

您可以参考https://aws.amazon.com/blogs/security/how-to-analyze-aws-waf-logs-using-amazon-elasticsearch-service/了解更多详情

于 2020-06-19T07:14:36.987 回答