Проблема с Logstash и обработкой логов от Cisco ASA. Советы, идеи?

Question

Вадим Яковлев @1nn0

Системный администратор\Фрилансер

Проблема с Logstash и обработкой логов от Cisco ASA. Советы, идеи?

Дано:
Ubuntu Server 14.04 LTS
Logstash 1.4.2
OpenJDK Runtime Environment (IcedTea 2.5.4) (7u75-2.5.4-1~trusty1)
ElasticSearch 1.4.4
Kibana 4.0

Конфиг Logstash:

input {
  tcp {
    type => "syslog"
    port => 5140
  }
}

input {
  udp {
    type => "syslog"
    port => 5140
  }
}

input {
  # Receive Cisco ASA logs on UDP port 5141
  udp {
    port => 5141
    type => "cisco-asa"
  }
}

filter {
  if [type] == "cisco-asa" {
    # Split the syslog part and Cisco tag out of the message
    grok {
      match => ["message", "%{CISCO_TAGGED_SYSLOG} %{GREEDYDATA:cisco_message}"]
    }

    # Parse the syslog severity and facility
    syslog_pri { }

    # Parse the date from the "timestamp" field to the "@timestamp" field
    date {
      match => ["timestamp",
        "MMM dd HH:mm:ss",
        "MMM  d HH:mm:ss",
        "MMM dd yyyy HH:mm:ss",
        "MMM  d yyyy HH:mm:ss"
      ]
    }

    # Clean up redundant fields if parsing was successful
    if "_grokparsefailure" not in [tags] {
      mutate {
        rename => ["cisco_message", "message"]
        remove_field => ["timestamp"]
      }
    }

    # Extract fields from the each of the detailed message types
    # The patterns provided below are included in Logstash since 1.2.0
    grok {
      match => [
        "message", "%{CISCOFW106001}",
        "message", "%{CISCOFW106006_106007_106010}",
        "message", "%{CISCOFW106014}",
        "message", "%{CISCOFW106015}",
        "message", "%{CISCOFW106021}",
        "message", "%{CISCOFW106023}",
        "message", "%{CISCOFW106100}",
        "message", "%{CISCOFW110002}",
        "message", "%{CISCOFW302010}",
        "message", "%{CISCOFW302013_302014_302015_302016}",
        "message", "%{CISCOFW302020_302021}",
        "message", "%{CISCOFW305011}",
        "message", "%{CISCOFW313001_313004_313008}",
        "message", "%{CISCOFW313005}",
        "message", "%{CISCOFW402117}",
        "message", "%{CISCOFW402119}",
        "message", "%{CISCOFW419001}",
        "message", "%{CISCOFW419002}",
        "message", "%{CISCOFW500004}",
        "message", "%{CISCOFW602303_602304}",
        "message", "%{CISCOFW710001_710002_710003_710005_710006}",
        "message", "%{CISCOFW713172}",
        "message", "%{CISCOFW733100}"
      ]
    }
  }
}


#Syslog
filter {
  if [type] == "syslog" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      add_field => [ "received_from", "%{host}" ]
    }
    syslog_pri { }
    date {
      match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
    }
  }
}

output {
elasticsearch_http { host => "localhost" }
}

Проблема:
кусок /var/log/logstash/logstash.log

{:timestamp=>"2015-02-21T23:37:01.319000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.334000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.370000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.388000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.458000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.461000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.533000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.540000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.595000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.650000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}
{:timestamp=>"2015-02-21T23:37:01.658000+0400", :message=>"Failed parsing date from field", :field=>"timestamp", :value=>"Feb 21 2015 22:37:01", :exception=>java.lang.IllegalArgumentException: Invalid format: "Feb 21 2015 22:37:01", :level=>:warn}

Постоянные однотипные предупреждения, и я третий день не могу понять где у меня ошибка.
В Kibana логи видны. Кроме ASA никто больше логи не посылает. Помогите советом, ну или подскажите куда копать.

Вопрос задан более трёх лет назад
4864 просмотра

Комментировать

Подписаться 3 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 2

1 комментарий

Вадим Яковлев @1nn0 Автор вопроса
Если вы про
:timestamp=>"2015-02-21T23:37:01.461000+0400", :message=>"Failed parsing date from field",...

То это внутренний таймштамп logstash насколько я понял. Cisco ASA посылает логи в таком формате:
<166>Feb 21 2015 23:13:48: %ASA-6-302016: Teardown UDP connection 46198909 for OUTSIDE:125.39.174.46/58101 to INSIDE:192.168.10.47/6881 duration 0:02:01 bytes 101
Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Сетевое администрирование

+2 ещё

Средний
Как включить HBA на HP Array P420I (hp proliant dl380p gen8)?
- 2 подписчика
- 22 часа назад
- 87 просмотров
1

ответ
Компьютерные сети

+3 ещё

Простой
Как вывести время последнего онлайна хоста в Zabbix?
- 2 подписчика
- вчера
- 225 просмотров
2

ответа
Компьютерные сети

+1 ещё

Средний
Какие протоколы прикладного уровня над TCP/IP поддерживают постоянное соедиение как WebSocket?
- 2 подписчика
- 19 нояб.
- 3466 просмотров
6

ответов
Сетевое администрирование

+4 ещё

Средний
Почему Mail in a box недоступен по внешнему ip?
- 1 подписчик
- 19 нояб.
- 121 просмотр
2

ответа
Компьютерные сети

+2 ещё

Простой
Начинающий системный администратор. Вопрос по построению сети?
- 2 подписчика
- 19 нояб.
- 5422 просмотра
14

ответов
Сетевое администрирование

+1 ещё

Простой
Можно ли частично изменить маску подсети в сети организации?
- 6 подписчиков
- 17 нояб.
- 4918 просмотров
8

ответов
Компьютерные сети

+4 ещё

Простой
Возможно ли назначение устройства в качестве шлюза, если для выхода в интернет на нём необходимо поднимать VPN?
- 1 подписчик
- 17 нояб.
- 6095 просмотров
3

ответа
Компьютерные сети

+2 ещё

Простой
У меня есть 2 одинаковых сайта в разных точках мира, как мне сделать, чтобы пользователь заходит на тот сайт, который ближе к нему расположен?
- 2 подписчика
- 16 нояб.
- 7281 просмотр
1

ответ
Компьютерные сети

+3 ещё

Простой
Как правильно настроить мост на Mikrotik?
- 3 подписчика
- 11 нояб.
- 600 просмотров
1

ответ
Сетевое администрирование

+1 ещё

Средний
Как решить проблему подключения к Cisco 2800 через putty?
- 2 подписчика
- 11 нояб.
- 131 просмотр
1

ответ
Показать ещё Загружается…

Системный / сетевой администратор (Linux/Windows, облачный провайдер)

Cloud4Y • Москва

от 200 000 до 300 000 ₽

Ведущий системный администратор

ФИНФОРТ • Краснодар

от 200 000 ₽

Системный администратор AD

Мечел-ИнфоТех • Москва

от 140 000 ₽

Разработка сайта под ключ на CMS Bitrix или Wordpress по готову дизайн

22 нояб. 2024, в 14:05

100000 руб./за проект

Написание статей в нужном стиле ( интерьер, дизайн спальни )

22 нояб. 2024, в 13:52

2000 руб./за проект

Необходимо доработать расширение для Google Chrome

22 нояб. 2024, в 13:51

5000 руб./за проект

Answer 1 · 2015-02-21 23:11:25

Армянское Радио @gbg Куратор тега Сетевое администрирование

Любые ответы на любые вопросы

Там же прямо написано, что формат даты не верен. Попробуйте маркер года капсом написать.

Ответ написан более трёх лет назад

1 комментарий

Answer 2 · 2015-02-21 23:52:43

Вот смотрю конфиг, вижу указаны форматы дат для парсинга. Смотрю результат с ошибками - действительно, нет ни одного шаблона, в котором быдата начиналось с года.

Проблема с Logstash и обработкой логов от Cisco ASA. Советы, идеи?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт