当前位置：文江博客话题详情

LogStash（Elk）：用主机名（基于文件）丰富IP。 - （无直接连接w/ dns/ ad）

发布于 2025-02-08 00:02:41 字数 230 浏览 2 评论 0原文

试图弄清楚如何丰富要摄入的数据（网络数据）zeek/suricata。我想显示主机名IP，或者更优选地添加基于IP地址的主机名添加另一个字段。

具有IP-＆GT的文件；如果需要，HostNames（CSV）当前可能是其他格式。无法使用DNS或Active Directory或任何其他连接的手段将IP转到主机名。

我知道您可以在Splunk中进行查找表，但不确定如何在麋鹿堆栈中完成相同的操作以查看Kibana的结果。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

伤痕我心 2025-02-15 00:02:41

您可以在logstash中使用过滤器，它需要一个两列CSV文件（或YML或JSON）。您可以尝试使用

translate {
    source => "[fieldWithIP]"
    dictionary_path => "/path/to/mapping.csv"
    target => "[fieldForHostname]"
}

此功能将添加一个新字段，称为[fieldforhostname]，如果在映射的第1列中找到了[fieldwithip]的值

You could do this in logstash using a translate filter, which requires a two-column CSV file (or YML, or JSON). You could try

translate {
    source => "[fieldWithIP]"
    dictionary_path => "/path/to/mapping.csv"
    target => "[fieldForHostname]"
}

this would add a new field called [fieldForHostname] if the value of [fieldWithIP] is found in column 1 of the mapping.csv

回复收藏 0 原文

~没有更多了~

关于作者

过期情话

暂无简介

文章

29 人气

关注发私信

李珊平

文章 0 评论 0

关注

Quxin

文章 0 评论 0

关注

范无咎

文章 0 评论 0

关注

github_ZOJ2N8YxBm

文章 0 评论 0

关注

若言

文章 0 评论 0

关注

南…巷孤猫

文章 0 评论 0

友情链接

文江博客

LogStash（Elk）：用主机名（基于文件）丰富IP。 - （无直接连接w/ dns/ ad）

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者