个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
30
4
我正在尝试将日志从 ClouldTrail 获取到 ElasticSearch 中,以便我们可以更好地了解我们的 AWS 账户中正在发生的事情。
我已经在我的机器(Ubuntu 14.04)上设置了 Logstash 和 ElasticSearch,并且可以将文本从 stdin 推送到 ElasticSearch。但是,当我尝试使用 S3 输入时,没有任何内容添加到 ElasticSearch。
这是我使用的配置文件,我已经删除了我的亚马逊 key
input {
s3 {
bucket => 'ko-cloudtrail-log-bucket'
secret_access_key => ''
access_key_id => ''
delete => false
interval => '60'
region => 'eu-west-1'
type => 'CloudTrail'
codec => cloudtrail {}
}
}
output {
stdout {}
elasticsearch {
host => '127.0.0.1'
}
}
我已经安装了 logstash-codec-cloudtrail编解码器,但 documentation非常稀疏。
即使在使用 -v 运行 Logstash 时,我的终端也没有出现任何错误,并且没有任何内容打印到 stdout。有什么我想念的吗?
最佳答案
这是我的 cloudtrail 输入。它在解决一个小问题时效果很好——它会重复记录。如 prefix 所示,我将 cloudtrail 日志放在 s3://bucketname/cloudtrail,而不是根。
突变是可选的。 eventSource 突变是为了让日志更具可读性,而 ruby ingest_time 为我提供了记录在 ELK 中出现的日期——否则,它只有事件发生的时间。最后,我删除了一条非常普通的记录,它只会给我的系统增加噪音。
input {
s3 {
bucket => "bucketname"
delete => false
interval => 60 # seconds
prefix => "cloudtrail/"
type => "cloudtrail"
codec => "cloudtrail"
credentials => "/etc/logstash/s3_credentials.ini"
sincedb_path => "/opt/logstash_cloudtrail/sincedb"
}
}
filter {
if [type] == "cloudtrail" {
mutate {
gsub => [ "eventSource", "\.amazonaws\.com$", "" ]
add_field => {
"document_id" => "%{eventID}"
}
}
if ! [ingest_time] {
ruby {
code => "event['ingest_time'] = Time.now.utc.strftime '%FT%TZ'"
}
}
if [eventSource] == "elasticloadbalancing" and [eventName] == "describeInstanceHealth" and [userIdentity.userName] == "secret_username" {
drop {}
}
}
}
credentials.ini 格式在 s3 input page 中有说明。 ;就是这样:
AWS_ACCESS_KEY_ID=
AWS_SECRET_ACCESS_KEY=
关于amazon-web-services - 将 CloudTrail 登录到 Logstash,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29819970/
30
4
0
当我尝试验证我的 cloudformation 模板时,收到“模板包含错误。:[/Resources/CloudTrail/Type/EventSelectors] 模板中不允许使用“null”值”错
我正在尝试下载存储在 S3 存储桶中的 CloudTrail 日志文件,但是当我收到该文件时,它是不可读的,直到我意识到它可以按照说 here 进行加密。而且我不知道如何解密该文件。 这是我的代码:
正如标题所示,我今天早上登录了我的 AWS 控制台,但在 Cloudtrail 中看不到相同的日志。 我的问题是 a) 这是将 AWS 控制台登录记录到 Cloudtrail 的默认行为吗?b) 我可
我已使用 AWS 管理控制台启用 CloudTrail,Amazon S3 存储桶策略是启用 CloudTrail 时自动创建的默认策略。 我可以找到有关我登录的日志以及所有其他偶数日志 但是没有关于
我一定错过了一些明显的东西。但我无法获取错误的详细信息。 无法知道 lambda 返回的确切错误。 最佳答案 根据此 AWS blog post您应该能够使用“CloudWatch 控制台,利用 Lo
使用“基于 CloudTrail 事件生成策略”功能在 IAM 中为特定角色生成策略时,我收到错误消息“策略生成失败。超出每个策略生成限制处理的 CloudTrail 日志文件。请修复后再试。” 如果
是否可以使用多个查找属性查询 cloudtrail 当我执行以下 aws cloudtrail lookup-events --lookup-attributes AttributeKey=Event
我正在尝试让 Cloudtrail 上路,并希望设置 Cloudtrail s3bucket。但政策尚未完成。这是我的代码: CloudtrailBucket: Type: AWS::S3::Bu
我正在对当前的 AWS 环境进行一些探索,并试图了解现有的 CloudTrail 是如何创建的以及所有者是谁? 我所说的“如何”是指 - 它是使用某些 CloudFormation 模板还是通过控制台
我想监控是否有人试图从我的 CloudTrail 的 S3 存储桶中删除日志。 我曾尝试用我自己的 IAM 用户删除自己在这个存储桶上的日志之一,但 CloudTrail 本身似乎没有注意到我已经从它
我想监控是否有人试图从我的 CloudTrail 的 S3 存储桶中删除日志。 我曾尝试用我自己的 IAM 用户删除自己在这个存储桶上的日志之一,但 CloudTrail 本身似乎没有注意到我已经从它
我正在开发一个 lambda 函数,该函数从 CloudTrail 获取事件并分析它们。 我有这个脚本: s3.download_file(bucket, key, download_path)
我在 s3 存储桶中启用了 cloudtrail 日志记录。我正在尝试使用 python sdk 来解析 s3 存储桶中的所有日志,以便隔离 RunInstance 事件。我从这样的事情开始: def
假设两种服务都已启用(启用了服务器访问日志记录的单个 S3 存储桶和为该存储桶启用了对象级日志记录的 CloudTrail): 1. 哪些事件会启动两种服务的日志记录? 2. 在这种情况下,一项服务将
我正在尝试使用 terraform 配置 AWS CloudTrail,但在 CloudWatch 集成方面仍然失败。有人在某处看到错误吗? Terraform CLI 和 Terraform AWS
在 cloud-trail 中,我可以在 CloudWatch Logs 部分下选择现有日志组 CloudTrail/DefaultLogGroup。是否可以使用cloudformation模板完成此
我正在尝试创建一些指标图表来跟踪我们的 API 调用,并且我想开始按事件名称进行分割。通过 web 界面和 cli 查看,我必须滚动浏览大量数据才能看到不同类型的事件。 我只想要所有事件名称的列表。
在 cloud-trail 中,我可以在 CloudWatch Logs 部分下选择现有日志组 CloudTrail/DefaultLogGroup。是否可以使用cloudformation模板完成此
我正在尝试将日志从 ClouldTrail 获取到 ElasticSearch 中,以便我们可以更好地了解我们的 AWS 账户中正在发生的事情。 我已经在我的机器(Ubuntu 14.04)上设置了
显然 AWS/Cloudtrail 在 AWS NameSpace 中可用,如下面的屏幕截图所示: 网址:https://docs.aws.amazon.com/sdkfornet1/latest/a
我是一名优秀的程序员,十分优秀!