0

我已经设置了 Kiwi Syslog 服务器,我在其中收集 Sonicwalls 防火墙流量日志,但我想通过任何 API 访问该日志或想在 elasticsearch 上发送。有什么方法可以设置 logstash 和 elasticsearch 以从我们收集日志的 kiwi syslog 服务器收集防火墙日志?

在此处输入图像描述

4

2 回答 2

0

在我看来你有两个选择

  • 让 Logstash 读取 kiwi syslog 服务器的 txt 文件输出

    • 如果您对系统日志执行其他操作,然后将它们发送到 Elasticsearch,这将是一个选项

  • 使用 Logstash Syslog 输入并让 Logstash 监听 syslog 事件,处理它们并将它们发送到 Elasticsearch [有关 Logstash Syslog 输入的信息可以在这里找到]

    • 这意味着你摆脱了 Kiwi
于 2021-05-04T06:04:41.320 回答
0

您不能直接发送到elasticsearch,但是您可以配置Kiwi 将日志转发到另一个地方,如果您配置logstash 来接收此日志,您可以将其发送到elasticsearch。

您可以使用udp或输入来执行此操作tcpsyslog主要区别在于使用syslog输入将有助于解析,但系统日志消息必须遵循RFC中指定的格式,我不确定是否是这种情况猕猴桃。

要使用syslog输入,您只需要像这样的配置。

input {
    syslog {
        port => "port-to-listen-to"
    }
}

output {
    elasticsearch {
        your-elasticsearch-output
    }
}
于 2021-05-04T13:01:09.870 回答