任何人都知道如何在像ELK这样的SIEM中导出mac os x的ASL日志? filebeat上是否有配置以文本格式首先转换它们。
我知道我们可以通过syslog -T utc -F raw
来阅读它们答案 0 :(得分:2)
您应该能够通过log命令导出所有内容。有时我想分析个人笔记本电脑通过logstash和elasticsearch生成的日志。为了使日志进入logstash,我在tmux窗口中运行以下命令:
sudo log stream --info --debug |sudo -E socat -dddd STDIN TCP4:logstash.docker:6661,interval=4,reuseaddr,forever
我用logstash破解了几个黑帽,以解析macos系统日志,并且它们大部分时间都在工作。随意将它们用作您自己的日志。如果您设法改善它们,请发送给他们(或要点链接)。
filter {
grok {
match => { "message" => "%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day}\s+%{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second}%{ISO8601_TIMEZONE:tz}%{GREEDYDATA}" }
add_field => {"[log_timestamp]" => "%{year}-%{month}-%{day} %{hour}:%{minute}:%{second}%{tz}"}
tag_on_failure => ["datefail_string"]
}
grok {
match => { "message" => ["%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day}\s+%{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second}%{ISO8601_TIMEZONE:tz}\s+%{BASE16NUM:thread_id}\s+%{LOGLEVEL:log_type}\s+%{BASE16NUM:activity}\s+%{NUMBER:pid}\s+%{DATA:program}:\s+\(%{DATA:library}\)\s+\[%{DATA:package}\]\s+%{GREEDYDATA:msg}", "%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day}\s+%{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second}%{ISO8601_TIMEZONE:tz}\s+%{BASE16NUM:thread_id}\s+%{LOGLEVEL:log_type}\s+%{BASE16NUM:activity}\s+%{NUMBER:pid}\s+%{DATA:program}:\s+\[%{DATA:package}\]\s+%{GREEDYDATA:msg}", "%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day}\s+%{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second}%{ISO8601_TIMEZONE:tz}\s+%{BASE16NUM:thread_id}\s+%{LOGLEVEL:log_type}\s+%{BASE16NUM:activity}\s+%{NUMBER:pid}\s+%{DATA:program}:%{GREEDYDATA:msg}"] }
tag_on_failure => ["logfail1"]
remove_field => ["message"]
}
mutate {
remove_field => ["month","day","year","minute","hour","second","tz"]
}
}
答案 1 :(得分:0)
您可以使用NXLog EE之类的日志收集器代理直接将日志发送到Elasticsearch,或将收集的日志转发到Logstash,并且MacOS是受支持的平台。可以收集内核日志,本地Syslog,Apple系统日志,进程记帐日志和其他日志文件。 EE不是免费的,但是有试用版。
还有一些模块可以解析Apple System Log(* .asl)文件。