為用戶解析 amazon cloudwatch RDS 審計日志
[英]Parse amazon cloudwatch RDS audit log for user
問題描述
我正在處理 RDS 審計日志並嘗試通過日志查詢解析出用戶名。 @message 列審計中的數據如下所示: 1234567890,rds-instance-name,rdsadmin,localhost,123,0,CONNECT,,,0
我想匯總日志中各個條目的計數,但我不知道如何從 @message 列中解析用戶名。 在上面的示例中,用戶名是 rdsadmin。
這是我到目前為止的查詢:
fields @timestamp, @message
| filter @message like /(?i)(connect)/
| parse @message /(?<@ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/
| stats count() AS counter by @user, @ip
| sort by @user desc, @counter desc
| limit 50
正則表達式能否解析逗號分隔字符串中的第三個值?
1 個解決方案
解決方案1
0 2019-12-06 18:37:21
這似乎有效,也許不是最好的方法? :
fields @timestamp, @message
| filter @message like /(?i)(CONNECT)/
| parse @message ',*,*,' as @instance,@user
| parse @message /(?<@ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/
| stats count() AS counter by @user, @ip
| sort by @user desc, @counter desc
| limit 50
Amazon CloudWatch:如何查找 CloudWatch 日志組的 ARN
[英]Amazon CloudWatch: How to find ARN of CloudWatch Log group
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Amazon RDS:plot CloudWatch 中的實例數
AWS RDS未將常規日志上傳到CloudWatch Logs
CloudWatch 中的多個日志流 - PostgreSQL RDS
Amazon CloudWatch日志組的后端存儲
Amazon Cloudwatch日志過濾 - JSON語法
Amazon CloudWatch:如何查找 CloudWatch 日志組的 ARN
MySQL和Amazon RDS DBA用戶
如何將多個日志文件發送到亞馬遜 cloudwatch?
Amazon RDS 超級用戶權限
Amazon AWS RDS MySQL慢查詢日志
相關標簽