IT运维:使用数据分析平台监控深信服防火墙(进阶)
概述
本文主要在原文档基础上,进行了字段抽取规则、图表的优化。
-
字段抽取:原文档使用正则的方式,创建了多个视图,本文将改为正则+键值的抽取方式,并介绍键值抽取的适用场景
-
图表的优化:原文使用多为简单的sql语句,本文将增加一下略复杂的语句,并采用更多的图表展现方式
前提条件
参考本文有一定的前置条件,包括如下:
鸿鹄已经完成安装,并可以正常工作
vector已经安装并完成配置,并可以正常工作
本文的数据源类型为sangfor_syslog,数据集为sangfor_syslog,可以按照自己的环境去匹配。但数据源类型建议在syslog导入前完成创建,因为后续字段加工时,会对数据源类型进行更改,并绑定
操作步骤
本文假定sangfor的日志按照数据源类型为sangfor_syslog,数据集为sangfor_syslog,正常导入到鸿鹄平台。
字段抽取
原始日志分析
在字段抽取前,我们需要先查看下原始日志,对其进行分析
通过查询可以看到原始日志格式如下,对其进行分析发现后半部分为标准的键值格式,即K/V格式,那么我们可以确定我们的字段抽取方式为正则抽取+键值抽取
将日志分为两个部分,第一部分采用正则抽取
第二部分先采用正则将整个内容抽取,随后通过parse_autokv进行键值抽取(由于键值抽取默认通过=进行抽取的,所以这里:无法直接利用键值抽取,需要后面使用parse_autokv抽取)
抽取新字段
1、正则抽取
抽取新字段
选择目标数据类型,选择样例事件,下一步
在抽取流程中,新建抽取规则>正则抽取
按照上文日志分析,第一步,我们通过正则将日志进行正则抽取。
TIPs:这里我们可以先采用划词抽取,随后编辑正则表达式,可以稍微简化我们写正则表达式。此外,划词抽取需要chrome支持,我们推荐使用chrome,并且版本要满足要求(如果提示版本过低就是未满足),否则会无法划词抽取
划词抽取完后,我们修改正则表达式,让它更适合我们日志。点击查看抽取结果,可以正常抽取字段,下一步
命名抽取规则,并保存
验证抽取的字段正常
2、键值抽取
上文已经正则抽取成功,我们可以看到有两个module,分别是fwlog和nat,由于fwlog日志格式不标准,所以对content部分进行键值抽取时,就要把这两部分分开抽取。
TIPS:键值抽取是无法支持包含()/的字符串抽取 ,抽取到这个位置会自动终止。
我们对content进行键值抽取。fwlog日志后面单独通过正则抽取。
parse_autokv(sangfor_syslog.content,':') ,采用:的方式进行键值解析
解析正常,接下来我们将其存为视图,便于后面查询调用
fwlog日志由于是非规范的键值,我们这里只能采取正则抽取。
上文我们已经进行过正则抽取,现在需要做的是将fwlog这部分的日志通过正则继续抽取
字段加工>找到我们创建的字段加工规则>编辑
选择fwlog日志的日志样例,这样方便编辑正则后查看抽取结果
这里可以看到我们之前创建的正则,现在需要新建一个正则,将content中fwlog的日志正则补充完成。查看抽取结果可以正常抽取。
TIPS:新建的正则规则只会对能够匹配到的日志进行抽取,所以我们不用担心两个规则有什么冲突
保存,到这里我们就完成了sangfor日志的数据抽取。
仪表盘
在初阶部分我们已经做了仪表盘,这里由于我们对数据的数据源类型、视图、字段抽取(这里会影响到字段名)做了变更,首先需要将图表中数据集和视图参数进行变更。以下以一个图表举例
编辑sql语句,将如下内容调整
调整为当前的数据集
按照以上方式,将所有图表先进行数据集和视图的调整,完成后我们进入优化阶段
优化阶段
优化阶段主要涉及的图表应用包括:
单值趋势图
柱状图、条状图、饼图
表格
图表钻取
气泡地图与专题地图
时间选择器
时间选择器
我们在查看图表的时候时间常常不是固定的,比如想查看一天的、一周的、一个月的情况,这样需要图表可以根据我们选择的时间自动的变化。
编辑>添加输入
输入类型:时间
标记名称:time_range 这个是后面图表要调用的标记
显示标签:时间选择器 这个是显示的名称
默认标记值:建议选择1天或者1周, 由于我这不是实时的日志,选择所有时间
创建完成后,我们需要编辑每个图表调用时间选择器
如果图表调用了时间选择器,那么时间选择器每次选择时间后点击应用就会刷新所有图表
单值趋势图
适用场景:
这种图表一般用于统计数字的显示,比如有多少个设备,多少个日志事件,多少个报错,优点是显示明了。
接下来我们用这个定义图表
设备数量图表:
显示设备数量主要是为了查看我们当前有几个设备,如果突然减少了,说明syslog的吐入出现问题了
饼图、柱状图、条形图
适用场景:
用于统计后的占比分析,比如防火墙当前的日志每个类型的日志占比。这三者可以灵活的切换。
日志模块图表:
接下来我们进一步想知道子日志模块有哪几个以及他们的占比。
TIPS:这里注意下我调用的是sangfor_syslog_view视图,不是sangfor_syslog数据集,之所以调用视图,是因为视图中我们抽取了日志类型。
子日志分类:
NAT日志类型:
NAT日志又包含了哪些分类?
流量审计APP分类
流量审计包含了哪些应用?
钻取图表
适用场景
在我们对事件进行统计分析后,先通过统计分析结果,进一步了解详细的情况。
设备登录统计
在安全方面,我们还需要关注设备的登录情况,比如我们有多个用户共同运维防火墙,某个用户登录次数很多,我想进一步看看他都有哪些行为,这时候可以使用钻取图表。
select 用户,count(*) from sangfor_syslog_view where "日志类型" = '系统操作' group by 用户
编辑钻取
钻取链接:设置标记
设置标记:clickusertoken(这个要调用的标记)click.category这个表示点击后会进行钻取,不需要更改
接下来我们在详细的事件中调用
创建完成后,我们点击左侧图标中的tpcadmin,右侧的图表就会根据我们的点击,查询相应的结果
气泡、专题地图
适用场景:
对外发布的服务器,我们需要知道当前的访问都是来自哪里的,这时候我们可以使用气泡地图,能够轻松查看到对外服务器的主要访问源
专题地图
用户到底访问了哪些区域,由于用户访问的区域比较多,这时候用气泡地图会很杂乱无章,建议使用专题地图,可以清晰的看出区域的分布
柱状、折线趋势图
适用场景
趋势图一般用于按照时间对某些字段进行统计,形成一个趋势。一般多用折线趋势图、柱状趋势图采用显示堆叠的方式会更美观。
TIPS:在2.10版本后可以支持图表叠加,即柱状图叠加折线图的组合方式。
这里我按照fwlog和nat事件的数量生成一个趋势图。由于我的日志不是持续输入的,所以这里显示为一个点,正常的环境是一个线。
搜索语句
效果图
附件:仪表盘可以直接导入使用,但需要注意的是,数据源类型、数据集名称要根据情况变更,此外,字段抽取要提前完成,否则会出现仪表盘没有显示。
深信服防火墙仪表盘.json(详细内容请至官网,加入鸿鹄技术交流群,获取相关资料)