Фильтр Grok для Cisco ASA

Question

Фильтр Grok для Cisco ASA

Как я могу получить порт из системного журнала ASA Cisco, используя шаблон Grok.

Я попробовал некоторые методы, и он не работает. Мы используем graylog для сбора данных журнала.

Например, журнал:

%ASA-6-301014: Teardown TCP connection 1846898154 for Vodafone:107.23.89.178/443 to Management:192.168.100.244/32790 duration 0:00:02 bytes 6923 TCP FINs

Из этого примера журнала нам нужно выбрать порт 443.

С уважением.

0

linux cisco syslog graylog grok

Источник

James Arems 07 апр '19 в 11:07

1 ответ

Решение

Другие вопросы по тегам linux cisco syslog graylog grok

Swisstone 07 апр '19 в 11:18 2019-04-07 11:18 · Accepted Answer · 2019-04-07 11:18

Это должно работать:

\%ASA-6-301014:.*%{IPV4:ip}/%{INT:port} to.*

Вы можете использовать GrokDebugger для проверки ваших фильтров:

https://grokdebug.herokuapp.com/

2

Источник

Swisstone 07 апр '19 в 11:18