Grok pattern conditionnel check

Problème

Lorsque l'ont veut appliquer un pattern grok sur une chaine envoyée par filebeat par exemple, il arrive que certains champs qui doivent respecter un pattern donné soit vide ce qui se traduit coté grok par un pattern qui ne correspond pas et donc par un parsing qui n'est pas envoyé correctement à elastic search. 

Exemple

Soit la chaine suivante : 
[27/Oct/2017:15:38:48 +0200] 127.0.0.1 - 200 80 212 GET /show HTTP/1.1

Et le pattern grock suivant : 
\[%{MONTHDAY}[./-]%{WORD}[./-]%{YEAR}[:]%{TIME}%{SPACE}[+]%{INT}\]%{SPACE}%{IP:[parameters][remoteip]}%{SPACE}%{USER:[parameters][user]}%{SPACE}%{INT:[parameters][httpcode]}%{SPACE}%{INT:[parameters][localport]}%{SPACE}%{INT:[parameters][processtime]}%{SPACE}%{GREEDYDATA:[parameters][requestfistline]}

Le résultat attendu :

{
  "MONTHDAY": [
    [
      "27"
    ]
  ],
  "WORD": [
    [
      "Oct"
    ]
  ],
  "YEAR": [
    [
      "2017"
    ]
  ],
  "TIME": [
    [
      "15:38:48"
    ]
  ],
  "HOUR": [
    [
      "15"
    ]
  ],
  "MINUTE": [
    [
      "38"
    ]
  ],
  "SECOND": [
    [
      "48"
    ]
  ],
  "SPACE": [
    [
      " ",
      " ",
      " ",
      " ",
      " ",
      " ",
      " "
    ]
  ],
  "INT": [
    [
      "0200"
    ]
  ],
  "[parameters][remoteip]": [
    [
      "127.0.0.1"
    ]
  ],
  "IPV6": [
    [
      null
    ]
  ],
  "IPV4": [
    [
      "127.0.0.1"
    ]
  ],
  "[parameters][user]": [
    [
      "-"
    ]
  ],
  "USERNAME": [
    [
      "-"
    ]
  ],
  "[parameters][httpcode]": [
    [
      "200"
    ]
  ],
  "[parameters][localport]": [
    [
      "80"
    ]
  ],
  "[parameters][processtime]": [
    [
      "212"
    ]
  ],
  "[parameters][requestfistline]": [
    [
      "GET /show HTTP/1.1"
    ]
  ]
}

Si dans la chaîne récupérée l'ip n’apparaît plus alors le pattern ne sera pas correspondant:
[27/Oct/2017:15:38:48 +0200]  - 200 80 212 GET /show HTTP/1.1




Solution





Utiliser le terme conditionnel pour la vérification du pattern.



Cela se traduit par l'utilisation de (?:le terme a mettre en conditionnel |).



Exemple : 



\[%{MONTHDAY}[./-]%{WORD}[./-]%{YEAR}[:]%{TIME}%{SPACE}[+]%{INT}\]%{SPACE}(?:%{IP:[parameters][remoteip]}|)%{SPACE}%{USER:[parameters][user]}%{SPACE}%{INT:[parameters][httpcode]}%{SPACE}%{INT:[parameters][localport]}%{SPACE}%{INT:[parameters][processtime]}%{SPACE}%{GREEDYDATA:[parameters][requestfistline]}







Maintenant le pattern est bien correspondant et la chaîne traitée correctement. 







































Commentaires











Enregistrer un commentaire



















Posts les plus consultés de ce blog









Insufficient privileges avec SonarQube 5.0 et Jenkins





















 Problème   Suite au passage a SonarQube 5.0 les jobs jenkins qui étaient responsable de faire l'analyse Sonar ne fonctionnaient plus.      J'avais comme erreur :    Caused by: java.lang.IllegalStateException: {"errors":[{"msg":"Insufficient privileges"}]}     Après quelque recherche je me suis rendu compte que c'était lié au changement de profil qualité (Quality Profiles).     Solution   Prérequis:   Avoir les accès admin sur Sonar et Jenkins    Créer dans Sonar un utilisateur   Aller dans le fichier sonar.properties sur le file system  Ajouter dans le fichier : sonar.security.localUsers: {utilisateur-technique-crée}  Aller dans la configuration Jenkins (Adminstrer Jenkins > Configurer le système)  Puis dans la partie 'Installations de Sonar'  Dans 'Login du compte Sonar' mettre le  login de l'utilisateur sonar crée  Dans 'Mot de passe du compte Sonar' mettre le mdp associé au login  Aller dans l'interface we...








Lire la suite










Mettre en place le plugin OWASP dependency check dans les projets SONAR




















Image







 Problématique   Comment mesurer les potentielles failles de sécurité induites par les dépendances présentes dans le projet Java que je développe ?      Solution    Utilisation du plugin maven dependency check  et du plugin sonar associé  afin d'avoir un indicateur dans sonarqube :           Cette solution a été sur les version de composants suivants :     Sonarqube 1.1  Maven 3.3.9  dependency-check-maven 3.2.1  sonar-maven-plugin 3.2  sonar-dependency-check-plugin 1.1.0       Mise en place dans Maven   Dans le pom du projet ajouter les plugin suivants ainsi que les propriétés :      < properties >        ...       < sonar.dependencyCheck.reportPath > ${dependency.check.report.dir}/dependency-check-report.xml </ sonar.dependencyCheck.reportPath >        < sonar.dependencyCheck.htmlReportPath > ${dependency.check.report.dir}/dependency-check-report.html </ sonar.dependencyCheck.htmlReportPath >     </ properties >     < bui...








Lire la suite










Docker registry avec certificat auto-signé (--insecure-registry)





















 Démarrer le registry sur le serveur   docker run -d -p 5000:5000 --restart=always --name registry \   -v {chemin_du_fs_stockage_des_donnes}/data:/var/lib/registry \   registry:2f    Authentification auto-signé (Voir https://docs.docker.com/registry/insecure/ )   myregistrydomain => ip, dns du serveur hébergeant le registry  Attention! Pas du tout adapté pour un environnement de PROD !     Génération du certificat sur le serveur hébergeant le registry   mkdir -p certs && openssl req \   -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key \   -x509 -days 365 -out certs/domain.crt  Be sure to use the name myregistrydomain.com  as a CN.     Démarrage du registry avec les certificats  docker run -d -p 5000:5000 --restart=always --name registry \ -v {chemin_contenant_les_crt_key}:/certs \ -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \ -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key registry:2    Coté client  Attention testé uniquement sur Ubuntu , la facon diffère ...








Lire la suite