0
我正在嘗試使用Logstash進行一些日誌分析。Logstash通過唯一IP進行計數
我需要從Apache訪問日誌中計算唯一的IP地址,然後我需要將它們與計數過濾器進行匹配,以確定是否發送電子郵件。
類似這樣的: 如果在5分鐘的時間間隔內從一個唯一的IP訪問10次以上,他們需要發送一封帶有此IP的電子郵件。
什麼是最好的解決方案呢?
A
回答
1
這樣做非常困難 - 要做到這一點,您需要爲每個IP地址創建一個儀表。一旦你有每個IP地址一米,然後你需要看看它的rate_5m,並決定它是否在你的threashold(注意rate_5m是過去5分鐘內的每秒速率)。一旦你決定需要發送警報,你可能需要在其中包含IP地址(所以我們需要使用紅寶石過濾器來提取它)...總而言之,不知道我會在生產中曾經使用過類似的東西,因爲它可能會像瘋了一樣咀嚼內存(因爲每個IP地址的計量)。
filter {
metrics {
meter => "%{ip}"
add_tag => ["metric"]
}
ruby { code => '
ip = nil
if event["tags"].include? "metric"
event.to_hash.each do |key,value|
if key.end_with?(".rate_5m") and value > 0.2
ip = key[0..-9]
end
end
end
if ip
event["ip"] = ip
event["tags"] = ["alert"]
end
'
}
}
output {
if "alert" in [tags] {
email { ... }
}
}
你可以寫一個更智能的自定義過濾器,使用諸如趨勢算法之類的東西來查找趨勢更高的IP地址。
相關問題
- 1. 計數唯一的IP地址與MySQL
- 2. 如何通過唯一鍵對數組值進行求和?
- 3. 通過計數進行SQL分組
- 4. 熊貓計數唯一行
- 5. 如何在使用Rails查找語句進行計數時通過唯一屬性進行排序?
- 6. 通過另一個表中的條件對行進行計數
- 7. MySQL對所有行和唯一行進行計數
- 8. 如何通過統計相關模型的唯一ID進行排序
- 9. 在PHP中對數組中的唯一數組進行計數?
- 10. 如何用PHPActiveRecord對行中的唯一值進行計數?
- 11. Logstash不會與Elastic Search進行通信
- 12. 如何通過logstash
- 13. 通過logstash進行日誌分析,沒有產生字段
- 14. 通過jdbc檢查唯一行存在
- 15. 通過唯一標識連接主機,而不是IP?
- 16. 通過cPanel添加具有唯一IP的網站
- 17. Logstash通過logstash只發送JSON
- 18. 計數過期未到期及行數爲每個唯一ID
- 19. Oracle:通過...獲得非唯一的重複副本...有計數
- 20. 計數唯一值
- 21. 通過IP進行串口通信拒絕命令MODBUS?
- 22. MySQL啓用服務器通過TCP/IP進行通信
- 23. Logstash計數輸出
- 24. 計數couchdb行只有唯一
- 25. Logstash無法通過Kafka接收數據
- 26. Mysql左連接,在不工作的字段中通過唯一值進行計數
- 27. Logstash無法通過只讀restsearch elasticsearch插件與elasticsearch進行通信。
- 28. 在java中通過tcp/ip進行通信的數據結構是什麼?
- 29. 通過公共IP訪問計算機
- 30. 跨多個數據幀對一列中的唯一值進行計數
這是一個很棒的/完整的回覆! 因爲我需要這個產品的應用程序,你會建議我一個報警系統,由同一個IP的大量訪問觸發?它也可以是除Logstash以外的其他工具。 – Rafa 2014-10-07 17:02:49