こんにちは、ホアンです。
現在、特定の過去のプロキシのログとファイアウォールのログをelasticsearchに蓄積しています。
これらはlogの形式は異なりますが 同一時刻の各フィールドをkibanaで表示したいのですが
この蓄積されたlogから Kibana上で1つのグラフに 積み重ねたように表示できないでしょうか?
下の図のようなものを表示したいです。
現在logstashのconfファイルは別々に実行しています。
・プロキシのログのconfファイル:
input {
stdin { }
}
filter {
grok {
match => [
"message", "(?:%{SYSLOGFACILITY} )?%{SYSLOGHOST:logsource}+(?: %{SYSLOGPROG}:|) Virus Found Alert%{CRLF} DateTime: [%{HTTPDATE:timestamp}]%{CRLF} Cliet IP Address: %{IPORHOST:clientip}%{CRLF} Virus Name%{NONSHARP:virusname}%{CRLF} URL: %{NONSHARP:virusurl}%{CRLF3}%{GREEDYDATA:mcafee}"
]
}
date {
match => [ "timestamp", "dd/MMM/YYYY:HH:mm:ss Z" ]
}
}
output {
# stdout { codec => rubydebug }
elasticsearch {
hosts => [ "localhost:9200" ]
}
}
・ファイアウォールのログのconfファイル:
input {
stdin { }
}
filter {
grok {
match => [
"message", "%{TIMESTAMP_ISO8601:timestamp} %{IPORHOST:srcip}:%{NUMBER:srcport} %{IPORHOST:dstip}:%{NUMBER:dstport} %{NUMBER:protocol} %{QUOTEDSTRING:dstcountry}"
]
}
date {
match => [ "timestamp", "YYYY-MM-dd HH:mm:ss" ]
}
}
output {
stdout { codec => rubydebug }
elasticsearch {
hosts => [ "localhost:9200" ]
}
}
・プロキシのログの例:
Sep 1 08:33:11 bcmwgw11 mwg: Virus Found Alert#015#012#015#012* DateTime: [01/Sep/2017:08:33:11 +0900]#015#012#015#012* Cliet IP Address: 10.24.31.27#015#012#015#012* Virus NameBehavesLike.HTML.ExploitBlacole.mq#015#012#015#012* URL: http://guitarlist.net/bandscore/hoshinogen/koi/koi.php#015#012#015#012#015#012Message generated by McAfee Web Gateway
・ファイアウォールのログの例:
2017-09-01 00:00:00 10.23.32.73:63093 52.222.193.184:80 6 "United States"
2017-09-01 00:00:00 10.23.32.73:63098 59.106.215.224:80 6 "Japan"
ご教授をお願いします。