GrayLog+nxlog采集邮箱登录日志csv文件并实现邮箱异地登录钉钉机器人告警

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: GrayLog+nxlog采集邮箱登录日志csv文件并实现邮箱异地登录钉钉机器人告警

场景如下


某厂商邮箱的登录日志为xlsx/csv格式

只有如下四个字段 登录时间,邮箱地址,登录IP,登录方式

87b816f4f76eb08f7ffe7d844ae60595.png

(图片可点击放大查看)


想要根据邮箱地址关联出员工姓名,工号等相关

并且GeoIP地址库根据IP地址查询登录IP所在地理位置信息

比如登录的IP地理位置是非国内地址时实现钉钉机器人告警


实现思路及实践参考链接


1、csv是否可以转成sylog格式的日志发到GrayLog


解决办法:nxlog xm_csv功能


方法来源链接地址:


https://nxlog.co/question/6063/nxlog-read-multiple-csv-files-and-send-it-siem
https://gitlab.com/nxlog-public/contrib/-/blob/master/guide_configs/xm_gelf_example_csv-nxlog.conf

835bd3f7e2dc039af89385c718e51423.png

(图片可点击放大查看)


2、利用GrayLog的lookup table+pipeline处理功能进行关联查询,实现关联出员工工号,员工姓名等其他字段


解决办法:这个之前有实现过,移植过来即可


3、GrayLog告警+PrometheusAlert告警模板实现钉钉告警时呈现出相关告警字段


解决办法:这个之前有实现过,告警模板修改即可


具体实现的详细步骤如下


1、GrayLog服务器安装nxlog-ce并配置读取csv文件


yum localinstall nxlog-ce-2.11.2190-1_rhel7.x86_64.rpm 
cp /etc/nxlog.conf /etc/nxlog.conf_bak
echo > /etc/nxlog.conf
vi /etc/nxlog.conf

修改为如下内容


## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally under
## /usr/share/doc/nxlog-ce/ and is also available online at
## http://nxlog.org/docs
########################################
# Global directives                    #
########################################
User nxlog
Group nxlog
LogFile /var/log/nxlog/nxlog.log
LogLevel INFO
########################################
# Modules                              #
########################################
<Extension _syslog>
    Module      xm_syslog
</Extension>
<Extension gelf>
    Module      xm_gelf
</Extension>
<Extension charconv>
    Module              xm_charconv
    AutodetectCharsets  gbk,utf-8, euc-jp, utf-16, utf-32, iso8859-2
</Extension>
<Extension csv>
    Module      xm_csv
    Fields      $time, $email_address, $loginIP, $method
    FieldTypes  string, string, string,string
    Delimiter   ,
</Extension>
<Input file>
    Module      im_file
    File        "/home/nxlog/login.csv"
    Exec        csv->parse_csv();
</Input>
<Output udp>
    Module      om_udp
    Host        192.168.31.230
    Port        12201
    OutputType  GELF_UDP
</Output>
<Route csv_to_gelf>
    Path        file => udp
</Route>

45e5474b95769b908eb7f914291c67ef.png

(图片可点击放大查看)


启动nxlog服务


cd /home/
mkdir nxlog
chown -R nxlog:nxlog nxlog/
cd nxlog
rz上传邮件登录日志的csv文件
chown -R nxlog:nxlog login.csv 
chmod 777 login.csv 
firewall-cmd --add-port=12201/udp --permanent 
firewall-cmd --reload
systemctl restart nxlog
systemctl enable nxlog
如果有报错排查nxlog的运行日志
tail -f /var/log/nxlog/nxlog.log


说明:只有csv文件发生变化时才会产生日志


2、GrayLog配置GELF INPUT用于接收日志


c596e6b9ca305acbbc114106f0655139.png

(图片可点击放大查看)

0b6f5b43aead231bc17b1fa81af0cbf4.png

(图片可点击放大查看)


并配置相应的Stream

9a702f14a0b7cb7c11b8f77ff980f426.png

(图片可点击放大查看)


3、配置LookupTable和Pipeline


LookupTable配置过程及相关csv文件截图如下

1c5073e31e737dcc114a52b1174925b9.png

(图片可点击放大查看)

ca55402296edef0c32d4dd15d99e682a.png

(图片可点击放大查看)

d61fb8ef5689cfb1d8089cbdb065e52b.png

(图片可点击放大查看)


pipeline规则语法如下


rule "email2username_lookup_table"
when 
  //  true
   has_field("email_address") AND
   is_not_null(lookup_value("email2username",to_string($message.email_address)))
then 
    let email_addresslookup_multivalue = lookup("email2username",to_string($message.email_address));
    let email_addressmultivalue = split("#",to_string(email_addresslookup_multivalue.value));
    set_field("Employee_Username",to_string(email_addressmultivalue[0]));
    //debug($message.Employee_Username);
    set_field("Employee_Mobile",to_string(email_addressmultivalue[1]));
     //debug($message.Employee_Mobie);
    set_field("Employee_alias_emailaddress",to_string(email_addressmultivalue[2]));
    //debug($message.Employee_alias_emailaddress);
     set_field("Employee_ID",to_string(email_addressmultivalue[3]));
     //debug($message.Employee_ID);
end

129251597cde8c8ff985e5ce52edb2c5.png

(图片可点击放大查看)


pipeline的配置,并应用到对应的Stream中



9975f7d122707c3b7ea4adca672e4a14.png

(图片可点击放大查看)


4、日志查询效果如下


可以看到关联查询出来的字段都出来了


403cc54b9c88a7093fdac7f90059a087.png

(图片可点击放大查看)


5、配置并优化PrometheusAlert告警模板

640.png

(图片可点击放大查看)


6、GraylogAlert告警条件配置

640.png

(图片可点击放大查看)

640.png

(图片可点击放大查看)

640.png

(图片可点击放大查看)


7、最终的告警效果如下

640.png

(图片可点击放大查看)


8、总结


当然这个只是简单的功能实现的测试过程还有很多细节问题需要考虑


例如由于csv文件是一次性导入,这样会出现瞬间钉钉机器人告警数量过大,触发1分钟20条的阈值,导致告警不再产生的情况


需要用一种方式每几秒读几行csv日志文件的方式避免一次性导入造成日志量过大告警停止的问题


这个应该好实现,后续再优化

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
|
Java Apache 开发工具
【Azure 事件中心】 org.slf4j.Logger 收集 Event Hub SDK(Java) 输出日志并以文件形式保存
【Azure 事件中心】 org.slf4j.Logger 收集 Event Hub SDK(Java) 输出日志并以文件形式保存
|
2月前
|
运维 安全 Linux
【揭秘】如何轻松掌控Linux系统命脉?——一场探索日志文件奥秘的旅程,带你洞悉系统背后的故事!
【8月更文挑战第21天】日志文件对Linux系统至关重要,记录着包括应用行为、组件状态和安全事件在内的系统活动,如同系统的“黑匣子”。掌握日志查看技巧是系统管理的基础技能,有助于快速诊断问题。常用命令包括`cat`、`tail`和`grep`等,可用于查看如`/var/log/messages`和`/var/log/auth.log`等系统日志文件,以及特定应用的日志。`journalctl`则用于查看systemd服务日志。此外,`logrotate`工具可管理日志文件的滚动和归档,确保系统高效运行。
41 4
|
2天前
|
监控 Linux 应用服务中间件
系统监控:使用日志文件 journalctl的使用
本文介绍了如何使用`journalctl`命令来监控和查看Linux系统的日志文件,包括查看特定行数、过滤日志级别、实时跟踪日志、按时间段查询日志以及日志轮换和压缩的配置。
6 2
系统监控:使用日志文件 journalctl的使用
|
2天前
|
开发工具 git
git显示开发日志+WinSW——将.exe文件注册为服务的一个工具+图床PicGo+kubeconfig 多个集群配置 如何切换
git显示开发日志+WinSW——将.exe文件注册为服务的一个工具+图床PicGo+kubeconfig 多个集群配置 如何切换
14 1
|
2天前
|
存储 监控 固态存储
如何监控和优化 WAL 日志文件的存储空间使用?
如何监控和优化 WAL 日志文件的存储空间使用?
|
22天前
|
缓存 监控 算法
分析慢日志文件来优化 PHP 脚本的性能
分析慢日志文件来优化 PHP 脚本的性能
|
1月前
|
消息中间件 存储 监控
Kafka的logs目录下的文件都是什么日志?
Kafka的logs目录下的文件都是什么日志?
49 11
|
2月前
|
缓存 NoSQL Linux
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
【Azure Redis 缓存】Windows和Linux系统本地安装Redis, 加载dump.rdb中数据以及通过AOF日志文件追加数据
|
14天前
|
Python
Python如何将日志输入到文件里
Python如何将日志输入到文件里
|
2月前
|
Java 应用服务中间件 HSF
Java应用结构规范问题之配置Logback以仅记录错误级别的日志到一个滚动文件中的问题如何解决
Java应用结构规范问题之配置Logback以仅记录错误级别的日志到一个滚动文件中的问题如何解决