[英]Parse amazon cloudwatch RDS audit log for user
我正在處理 RDS 審計日志並嘗試通過日志查詢解析出用戶名。 @message 列審計中的數據如下所示: 1234567890,rds-instance-name,rdsadmin,localhost,123,0,CONNECT,,,0
我想匯總日志中各個條目的計數,但我不知道如何從 @message 列中解析用戶名。 在上面的示例中,用戶名是 rdsadmin。
這是我到目前為止的查詢:
fields @timestamp, @message
| filter @message like /(?i)(connect)/
| parse @message /(?<@ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/
| stats count() AS counter by @user, @ip
| sort by @user desc, @counter desc
| limit 50
正則表達式能否解析逗號分隔字符串中的第三個值?
這似乎有效,也許不是最好的方法? :
fields @timestamp, @message
| filter @message like /(?i)(CONNECT)/
| parse @message ',*,*,' as @instance,@user
| parse @message /(?<@ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/
| stats count() AS counter by @user, @ip
| sort by @user desc, @counter desc
| limit 50
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.