Selamlar arkadaşlar bu yazımda size Graylog üzerinde Pipeline kullanacağız ve Rule oluşturacağız.
Graylog’a gelen log verilerini işleyerek, önceden belirlediğimiz kurallara göre düzenleyen, filtrelemeler yapan ve Log zenginleştirme yapmamıza yardımcı olan özelliğimizdir. Bu sayede loglarımızı okurken, raporlarken ve analiz ederken işimizi daha çok kolaylaştırır.
Pipeline’lar ile neler yapabiliriz; tanımlamış olduğumuz Rule’ler ile log verilerimizin üzerinde veri türünü değiştirme, belirli alanı çıkarma veya yeni alanlar ekleme gibi işlemler yapabiliriz. Bu loglar üzerinde koşullarımıza uygun Filtreleme yapabiliriz.
İlk olarak System > Pipelines alanına gidilir ve Add new Pipeline alanına tıklarız.
Title alanına açıklamamızı yazıyoruz ve ardından Create Pipeline tuşuna basıyoruz.
Daha sonra oluşturulan bu Rule’a bir Stream eklememiz gerekiyor. Bundan dolayı Pipeline Connections alanına gideriz ve Edit Connections tuşuna basarız.
Açılan pencerede ise Streams alanından istediğimizi seçtikten sonra Update Connections tuşuna basarız.
Sonrasında oluşturulan bu Pipeline’a Rule yazmamız lazım. Bunun için System/Pipelines altında Manage Rules kısmına giriyoruz. Sonrasında Create Rule tuşuna basıyoruz.
Açılan ekranda Description alanını doldurduktan sonra Rule Source alanına Rule’larımızı giriyoruz.
rule "Set Source IP"
when
has_field("gl2_remote_ip")
then
let sourceIp = to_ip($message.gl2_remote_ip);
set_field("source_ip", sourceIp);
endRule kısmında “”Tırnaklar içerisine yazılan Rule’umuzun adı oluyor. Has_field olarak yazdığımız alan ise logların içerisinde gl2_remote_ip alanının olup olmadığını kontrol ediyor. Var ise aşağıdaki kodlar ile source_ip alanını ekliyor.
Daha sonra Manage Pipelines alanında, Pipeline Stages bölümünde Add New Stage tuşuna tıklıyoruz. Açılan ekranda Stage rules alanında kendi oluşturduğumuz Rule’u seçiyoruz. Sonrasında Add Stage bölümüne basıyoruz.
Daha sonra loglarınızı kontrol ettiğinizde Source_IP kısımlarını görebilirsiniz. Eklememiz başarılı bir şekilde gerçekleşti.
Bir yazımın daha sonuna geldim arkadaşlar. Umarım yararlı olur sizler için. Soru ve görüşlerinizi yorumlar alanından bana iletebilirsiniz. Destek vermek isterseniz YouTube üzerinde bulunan SistemDostu kanalıma abone olabilirsiniz. Hepimize kolaylıklar dilerim.
