使用ELK(Elasticsearch-Logstash-Kibana)堆栈,我将系统日志从* nix框收集到Logstash并通过Elasticsearch将其发送到Kibana。这是经典的一种情况。
我的系统日志日志包括正常的系统事件,squid访问日志,captiveportal登录日志等。 captiveportal记录为
1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first
和
squid访问日志记录为:
1423562965.228 482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml
在Logstash中,我已经过滤了强制网络门户日志,我有client_ip="192.168.1.23",user_name="mike.brown",并且在Logstash配置中的不同过滤器中我也过滤了squid访问日志,我得到了{{ 1}}。
我的问题是:如何查询获取user_name,其中squid访问日志的client_ip等于Kibana中强制门户的src_ip?