小编Efr*_*evy的帖子

Docker - 流量镜像

我有2个不同的运行容器.我希望能够将来到容器#1的流量镜像到容器#2中.

这有停机命令吗？

docker

Efr*_*evy

2016 08-03

3
推荐指数

1
解决办法

1367
查看次数

Logstash - grok 重命名字段名称

以下是事件消息的示例：

{
"timestamp":"2016-03-29T22:35:44.770750-0400",
"flow_id":45385792,
"in_iface":"eth1",
"event_type":"alert",
"src_ip":"3.3.3.8",
"src_port":21,
"dest_ip":"2.2.2.2",
"dest_port":52934,
"proto":"TCP",
"alert":{
    "action":"allowed",
    "gid":1,
    "signature_id":4027,
    "rev":0,
    "signature":"FTP Successful Login",
    "category":"",
    "severity":3
    },
"payload":"MjU3ICIvaG9tZS9uZXd1c2VyIg0K",
"payload_printable":"257 newuser",
"stream":0,
"packet":"AFBWo0NoAFBWoxZWCABFAABJKDpAAEAGCGcDAwMIAgICAgAVzsbd4MhqOBOjfoAYAOMYcwAAAQEIChHN4EQHnwugMjU3ICIvaG9tZS9uZXd1c2VyIg0K"
}


input 
    beats 
        port => 5044
        codec => json
        type => "SuricataIDPS"

Run Code Online (Sandbox Code Playgroud)

我的 Logstash 配置文件如下：

output 
    elasticsearch 
        hosts => ["localhost:9200"]
        sniffing => true
        manage_template => false
        index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
        #document_type => "%{[@metadata][type]}"

Run Code Online (Sandbox Code Playgroud)

我希望能够重命名该字段alert.signature，

我该怎么做？...似乎它不识别该字段...

感谢您的帮助！

埃夫拉特

logstash-grok

Efr*_*evy

2017 01-16

2
推荐指数

1
解决办法

2999
查看次数