Grok-Problem mit mehreren IPs in NginX Logstash

Question 1

Ich bin nicht sicher, ob dieses Problem immer noch besteht. Wenn ja, erfahren Sie hier, was für Sie funktionieren könnte.

Bei diesem Protokollformat gilt Folgendes:

log_format custom '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$host" "$http_x_forwarded_for"';

Das von Ihnen angegebene Grok-Muster berücksichtigt die Hinzufügung der "$host" "$http_x_forwarded_for"Portion nicht.

Ich bin nicht sicher, warum Ihr Grok nicht fehlschlägt, aber es sollte.

Dieses Muster funktioniert in jedem Fall mit dem obigen Protokollformat:

%{IP:clientip} %{NOTSPACE:ident} %{NOTSPACE:auth} \[%{HTTPDATE:timestamp}\] "%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response} (?:%{NUMBER:bytes}|-) (?:"(?:%{URI:referrer}|-)"|%{QS:referrer})(?:;|) %{QS:agent} "%{NOTSPACE:host}" "(?<x_forwarded_for>%{IP:xff_clientip}, .*)"

Und Ergebnisse in den folgenden Bereichen

httpversion      1.1
request          /api/filter/14928/content?api_key=apikey&site=website
timestamp        28/Sep/2015:12:39:56·+1000
auth             -
host             my.website.com
agent            "-"
x_forwarded_for    1.144.97.102,·1.144.97.102,·1.144.97.102,·127.0.0.1,·172.31.26.59
clientip         172.31.7.219
bytes            101
response         403
xff_clientip     1.144.97.102
ident            -
port    
verb             GET
referrer

Beachten Sie, dass Ihnen im Vergleich zu vorher einige neue Felder zur Verfügung stehen.

Der erste ("x_forward_for" => 1.144.97.102, 1.144.97.102, 1.144.97.102, 127.0.0.1, 172.31.26.59) ist der Inhalt des letzten Satzes von Anführungszeichen oder $http_x_forwarded_foraus dem Protokollformat.
Der zweite ("xff_clientip" => 1.144.97.102) istNurdie erste IP in dieser Liste, die der tatsächlichen Quell-IP der Anfrage entsprechen sollte.

Wenn es nach mir ginge, würde ich das x_forwarded_forFeld auch durch einen mutateFilter laufen lassen, um es in ein Array aufzuteilen:

mutate {
  split  => { "x_forwarded_for" => ", " }
}

Answer

Ich bin nicht sicher, ob dieses Problem immer noch besteht. Wenn ja, erfahren Sie hier, was für Sie funktionieren könnte.

Bei diesem Protokollformat gilt Folgendes:

log_format custom '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$host" "$http_x_forwarded_for"';

Das von Ihnen angegebene Grok-Muster berücksichtigt die Hinzufügung der "$host" "$http_x_forwarded_for"Portion nicht.

Ich bin nicht sicher, warum Ihr Grok nicht fehlschlägt, aber es sollte.

Dieses Muster funktioniert in jedem Fall mit dem obigen Protokollformat:

%{IP:clientip} %{NOTSPACE:ident} %{NOTSPACE:auth} \[%{HTTPDATE:timestamp}\] "%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response} (?:%{NUMBER:bytes}|-) (?:"(?:%{URI:referrer}|-)"|%{QS:referrer})(?:;|) %{QS:agent} "%{NOTSPACE:host}" "(?<x_forwarded_for>%{IP:xff_clientip}, .*)"

Und Ergebnisse in den folgenden Bereichen

httpversion      1.1
request          /api/filter/14928/content?api_key=apikey&site=website
timestamp        28/Sep/2015:12:39:56·+1000
auth             -
host             my.website.com
agent            "-"
x_forwarded_for    1.144.97.102,·1.144.97.102,·1.144.97.102,·127.0.0.1,·172.31.26.59
clientip         172.31.7.219
bytes            101
response         403
xff_clientip     1.144.97.102
ident            -
port    
verb             GET
referrer

Beachten Sie, dass Ihnen im Vergleich zu vorher einige neue Felder zur Verfügung stehen.

Der erste ("x_forward_for" => 1.144.97.102, 1.144.97.102, 1.144.97.102, 127.0.0.1, 172.31.26.59) ist der Inhalt des letzten Satzes von Anführungszeichen oder $http_x_forwarded_foraus dem Protokollformat.
Der zweite ("xff_clientip" => 1.144.97.102) istNurdie erste IP in dieser Liste, die der tatsächlichen Quell-IP der Anfrage entsprechen sollte.

Wenn es nach mir ginge, würde ich das x_forwarded_forFeld auch durch einen mutateFilter laufen lassen, um es in ein Array aufzuteilen:

mutate {
  split  => { "x_forwarded_for" => ", " }
}

Question 2

Für den letzten Teil würde die Lösung von Anton Roslov nur die Protokollzeilen "ip1, ip2" und "single-ip" abgleichen, nicht aber "ip1, ip2, ip3".
IMHO so etwas wie

(?<x_weitergeleitet_für>%{IP:clientip}(?:, [^,]+)*)

sollte funktionieren. Nur zur Kontrolle ...

… \"(?:%{DATA:user_agent}|-)\" \"(?<x_forwarded_for>%{IP:clientip}(?:, [^,]+)*)?|-\"

oder

… \"(?:%{DATA:user_agent}|-)\" \"(-|(?<x_forwarded_for>%{IP:clientip}(?:, [^,]+)*)?)\"

sollte das Muster Ihrer Wahl sein. Getestet in grokdebug.herokuapp.com.

Answer

Für den letzten Teil würde die Lösung von Anton Roslov nur die Protokollzeilen "ip1, ip2" und "single-ip" abgleichen, nicht aber "ip1, ip2, ip3".
IMHO so etwas wie

(?<x_weitergeleitet_für>%{IP:clientip}(?:, [^,]+)*)

sollte funktionieren. Nur zur Kontrolle ...

… \"(?:%{DATA:user_agent}|-)\" \"(?<x_forwarded_for>%{IP:clientip}(?:, [^,]+)*)?|-\"

oder

… \"(?:%{DATA:user_agent}|-)\" \"(-|(?<x_forwarded_for>%{IP:clientip}(?:, [^,]+)*)?)\"

sollte das Muster Ihrer Wahl sein. Getestet in grokdebug.herokuapp.com.

Grok-Problem mit mehreren IPs in NginX Logstash

Antwort1

Antwort2

verwandte Informationen