ELK+grok+华为防火墙USG6500会话日志
一、 前言
作为一名网络工程师进程要分析网络设备、防火墙设备日志,网上大部分都是通过logstash进行收集syslog日志,但是没有对国产设备防火墙分析。本次项目采用centos 7.2操作系统,elk7.7版本。关于elk的安装本次不涉及。
二、处理流程
1、开启防火墙会话功能,格式为syslog模式,其实也可以用netflow模式,elk其实是可以收集netflow日志;
2、elk在logstash配置文件配置grok插件,logstash模式安装了grok;
3、kibana需要将索引重新加载一下,就能关心的防火墙5元组重要信息(源端口、源IP、目的端口、目的ip等);
三、详细部署
应该华为防火墙涉及型号较多、版本都有所不同,但是原理都是一致的,所以本次说实现过的日志grok正则
1、防火墙日志:
Apr 29 2021 08:30:52 USG-FW01 %%01POLICY/6/POLICYPERMIT(l):vsys=public, protocol=6, source-ip=X.X.X.X, source-port=49187, destination-ip=X.X.X.X, destination-port=445, time=2021/4/29 16:30:52, source-zone=trust, destination-zone=untrust, application-name=,
2、grok正则表达式
(?<time>%{MONTH}\s%{MONTHDAY}\s%{YEAR}\s%{TIME}) %{HOSTNAME:name} %%01POLICY/6/%{WORD:policy}\(l\):vsys=%{WORD:vsys}, protocol=%{INT:protocol}, source-ip=%{IP:source_ip}, source-port=%{INT:source_port}, destination-ip=%{IP:destination_ip}, destination-port=%{INT:destination_port}, time=(?<session_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY}\s%{TIME}), source-zone=%{WORD:source_zone}, destination-zone=%{WORD:destinatione_zone}, (application-name=|application-name=%{WORD:application_name})
3、配置logstash配置
filter {grok {match => { "message" => "(?<time>%{MONTH}\s%{MONTHDAY}\s%{YEAR}\s%{TIME}) %{HOSTNAME:name} %%01POLICY/6/%{WORD:policy}\(l\):vsys=%{WORD:vsys}, protocol=%{INT:protocol}, source-ip=%{IP:source_ip}, source-port=%{INT:source_port}, destination-ip=%{IP:destination_ip}, destination-port=%{INT:destination_port}, time=(?<session_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY}\s%{TIME}), source-zone=%{WORD:source_zone}, destination-zone=%{WORD:destinatione_zone}, (application-name=|application-name=%{WORD:application_name})" }}
}
4、通过grok正则进行提取关键字
{"vsys": "public","destination_port": "445","source_zone": "trust","session_time": "2021/4/29 16:30:52","source_ip": "1.1.1.1","protocol": "6","destination_ip": "2.2.2.2","destinatione_zone": "untrust","source_port": "49187","name": "USG-FW01","time": "Apr 29 2021 08:30:52","policy": "POLICYPERMIT"
}
注意事项
1)、在grok正则表达式中自定义了120个,其中有多种时间定义,但是不都符合防火墙时间定义,所以需要自定义时间正则表达式,(?%{MONTH}\s%{MONTHDAY}\s%{YEAR}\s%{TIME}) 对应防火墙日志中Apr 29 2021 08:30:52;
2)、防火墙名称使用hostname代替,这个变量已经定义好了直接用就行;
3)、防火墙安全策略有允许和拒绝,所有要用到或语句;
4)、使用grok测试工具进行验证,kibana中自带该功能
kibana进行展示
kabana仪表盘中科院看到我们关注的防火墙五元组信息,源端口、源ip、目的端口、目的IP等信息;可以展示出ip地址排名、源端口排名、目的端口排名,具体操作将在下一期进行分享。
ELK+grok+华为防火墙USG6500会话日志相关推荐
- 华为防火墙配置(防火墙NAT)
目录 前言 一.防火墙NAT概述 1.防火墙NAT策略介绍 2.NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3.NA ...
- 华为防火墙查看日志命令_防火墙接入互联网方式,到底有哪些呢?5分钟学会防火墙入网...
通过静态IP接入互联网 局域网内部所有的PC都不是在10.3.0.0/24网段,均通过DHCP动态获取IP地址.企业从运营商处获取固定的IP地址为1.1.1.1/24.企业需要利用防火墙接入互联网. ...
- 华为防火墙简介及其工作原理
防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用.华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产 ...
- 华为防火墙及它的工作原理
一.华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM(统 ...
- 华为防火墙产品介绍及工作原理
华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管 ...
- 华为防火墙配置(防火墙基础)
目录 前言 一.防火墙概述 1.防火墙介绍 2.防火墙作用 3.NGFW (1)基于应用 (2)基于用户 (3)基于位置 (4)实际应用 4.防火墙的工作模式 (1)路由模式 (2)透明模式 (3)混 ...
- 华为防火墙实战配置教程
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的 ...
- 基于 ELK Stack 和 Spark Streaming 的日志处理平台设计与实现
概述 大数据时代,随着数据量不断增长,存储与计算集群的规模也逐渐扩大,几百上千台的云计算环境已不鲜见.现在的集群所需要解决的问题不仅仅是高性能.高可靠性.高可扩展性,还需要面对易维护性以及数据平台内部 ...
- 配置使用rsyslog+loganalyzer收集防火墙及交换机日志
1.目的背景 日志功能对于操作系统是相当重要的,在使用中,无论是系统还是应用等等,出了任何问题,我们首先想到的便是分析日志,查找问题原因. 自 CentOS 6 开始,我们的 CentOS 便开始使用 ...
最新文章
- STL学习小记--与C++模板相关的几个特性
- 1.3 单一数字评估指标-深度学习第三课《结构化机器学习项目》-Stanford吴恩达教授
- BeagleBone Black QNX6.6 BSP中IPL的完善
- python之sys模块详解
- jq点击所有子元素_jQuery删除/清空指定元素下的所有子节点的方法
- ON DUPLICATE KEY UPDATE 附带更新条件
- html绑定按键图片移动,如何使用JS实现用键盘控制图片移动呢?
- mysql 进入数据库名_操作mysql数据库的一些命名
- 软件机器人从幕后到台前 RPA+Chatbot带来“端到端的自动化”
- Overloud TH3 for Mac(电吉他效果器)
- python自回归_【时间序列】自回归模型
- FASTBOOT教程
- c语言 一维薛定谔方程,基于MATLAB快速傅里叶非线性薛定谔方程.ppt
- Bitcherry BCHC:阿里收购考拉成跨境电商一哥 仍面平台临信任问题
- 如何选择靠谱的插画培训课程
- 火绒浏览器怎样禁用js进行文件上传漏洞测试
- iPhone 可以DIY了?苹果推出自助维修计划
- php 底部页面层,html 设置页脚div一直在页面底部
- Bootstrap简单认识之Tooltips组件
- WIFI定位原理分析
热门文章
- 初涉VB.NET入门级代码积累
- 联想IdeaPad Z460在Win10环境下BIOS刷白名单
- 记公司项目中数字大屏适配4K大屏的问题
- aptX技术完美解决无线音频的延时问题
- CSR8675模组,支持蓝牙APTX
- linux判断季末日期,C#根据当前时间确定日期范围(本周、本月、本季度、本年度)...
- 【压缩感知合集8】MP算法(算法实现、收敛讨论以及问题分析)
- 将iphone手机屏幕画面投到Mac上
- 外部中断----高低电平触发,(边沿触发)上升沿触发和下降沿触发区别
- Papers with Code一个查找论文和对应代码的神器