El archivo de configuracion de logstash para su coleccion de datos
# Wordpot
file {
path => ["/data/wordpot/log/wordpot.log"]
codec => json
type => "Wordpot"
}
file {
path => ["/data/emi/log/honeypot.json"]
codec => json
type => "Emi"
}
}
# Wordpot
if [type] == "Wordpot" {
date {
match => [ "timestamp", "ISO8601" ]
}
}
# Emi
if [type] == "Emi" {
date {
match => [ "[context][timestamp]", "yyyy-MM-dd HH:mm:ss" ]
target => "@timestamp"
}
mutate {
rename => { "[context][ip]" => "src_ip" }
rename => { "dst_port" => "dest_port" "dst_ip" => "dest_ip" }
}
if ![dest_ip] {
mutate { add_field => { "dest_ip" => "${MY_EXTIP}" } }
}
if ![dest_port] {
mutate { add_field => { "dest_port" => "80" } }
}
if [dest_port] {
mutate { convert => { "dest_port" => "integer" } }
}
}Este configuracion describe como el archivo de logstash se debe de configurar para tomar los datos y enviarlo a elasticsearch.
Archivo JSON obtenido desde elasticsearch
La siguiente captura de pantalla muestra como logstash pudo reenviar los datos a elasticsearch y es eso lo que se representa.
Captura de pantalla
los logs almacenados de honeypot-emi almacenados en elasticsearch