znice123的博客

收到syslog的一条信息格式如下： date=2020-09-24 time=10:39:36 devname=XX_WSZF_FG1 devid=FGT5HD3915804298 logid=0419016384 type=utm subtype=ips eventtype=signature level=alert vd="root" severity=high srcip=61.xxx.127.82 srccountry="China" dstip=xxx.xxx.xxx.148 srcintf="

Query Content：查询上下文，含query参数，既要确定文档是否匹配，还要计算匹配度多少，即_score字段的相关性得分 Filter Content：过滤上下文，如在bool查询中含filter或must_not参数，只关心文档是否和查询匹配，常用过滤器将由ES自动缓存，以提高性能 1. Trem-level queries：术语级查询 　　(1) term query：词条查询，根据字段值精确匹配文档，不要查询text字段，因为被分词了，改用match查询即可，与数据库 = 对应 　　

最近使用elk做应用审计的日志信息收集 1、定义应用输出格式 日志文件中如： 2020-06-27 09:25:01.458 [L:INFO] 11779 --- [io-8090-exec-55] n.e.s.m.d.d.P.insertSelective!selectKey :AD.scan|system|order|delete|2020-07-29|15:53|user1|success.AD 2、logstash中获取有用的字符串 通过grok脚本，截取需要的字符串存放在新建字段中 .