适用于 Cisco ASA 的 Grok 过滤器

适用于 Cisco ASA 的 Grok 过滤器

如何使用 grok 模式从 cisco ASA syslog 获取端口。

我尝试了一些方法,但没有效果。我们使用 graylog 来收集日志数据。

例如日志:

%ASA-6-301014: Teardown TCP connection 1846898154 for Vodafone:107.23.89.178/443 to Management:192.168.100.244/32790 duration 0:00:02 bytes 6923 TCP FINs

从这个示例日志中,我们需要获取 443 端口。

问候。

答案1

这应该有效:

\%ASA-6-301014:.*%{IPV4:ip}/%{INT:port} to.*

您可以使用 GrokDebugger 来测试您的过滤器:

https://grokdebug.herokuapp.com/

相关内容