Всем привет.
Развернул ELK стек, в него по SYSLOG-у отправляю логи с firewall-а, в формате CEF.
input такой:
type => "syslog"
syslog_field => "syslog"
codec => "cef"
Собсно все. фильтры ничего особо не делают, сразу на output отправляю в elasticsearch.
И если я теперь пойду в kibana, то там все логи распарсены, и вместо кодировок типа "src", "spt" значения ключей уже "sourceAddress" и "sourcePort". Где это все прописано, я никак не могу найти.
И еще маленький вопрос. В логе пары Ключ\Значение передаются в двух разных параметрах. Например,
cs4Label=Destination Zone
cs4=Untrusted.
Как-то их можно при парсинге соотнести друг другу и в БД уже отправить пару "Destination Zone = Untrusted"?
