如何使用 grok 模式从 cisco ASA syslog 获取端口。
我尝试了一些方法,但没有效果。我们使用 graylog 来收集日志数据。
例如日志:
%ASA-6-301014: Teardown TCP connection 1846898154 for Vodafone:107.23.89.178/443 to Management:192.168.100.244/32790 duration 0:00:02 bytes 6923 TCP FINs
从这个示例日志中,我们需要获取 443 端口。
问候。
答案1
这应该有效:
\%ASA-6-301014:.*%{IPV4:ip}/%{INT:port} to.*
您可以使用 GrokDebugger 来测试您的过滤器: