logstash匹配内网IP,并添加字段

需求:判断IP是否属于某个内网段,属于则添加字段

插件:logstash-filter-cidr, logstash自带

用法:在logstash配置文件的filter中添加如下命令

cidr {
    add_field => {"department"=>"XX部"}
    address => ["%{src_ip}", "%{dst_ip}"]
    network => ["192.168.0.1/24"]

说明:add_field  匹配成功后需要添加的字段及内容

           address 需要匹配的字段,可以是一个也可以是多个,逗号分隔

           network 匹配的网段,可以是多个,逗号分隔

问题:如果部门太多的话,添加起来比较麻烦,不知道有没有更好的方法,求大神们指教。

Logstash

相关

logstash根据日志关键词报警

K8S-ELK日志系统之五:logstash+kabana

Skywalking调用链数据接入其他平台方案(如logstash)

CentOS7下安装elsticsearch、kibana、filebeat、logstash服务

logstash系列-使用中的一些点

利用logstash 把mysql 查询的数据定时自动导入ES (超简版)

ElasticSearch(1)---Logstash同步Mysql数据到ElasticSearch

3.logstash

2022年官网下安装Logstash最全版与官网查阅方法(8.1.0最新安装)

elk logstash安装

logstash收集springboot日志

Filebeat和logstash 使用过程中遇到的一些小问题记录

标签