ELK (Elasticsearch-Logstash-Kibana) スタックを使用して、*nix ボックスから Logstash に syslog ログを収集し、Elasticsearch 経由で Kibana に送信します。これは古典的な 1 つのシナリオです。
私の syslog ログには、通常のシステム イベント、squid アクセス ログ、captiveportal ログイン ログなどが含まれます。
1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first
と
squid のアクセス ログは次のように記録されます。
1423562965.228 482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml
Logstash では、キャプティブ ポータル ログをフィルタリングしclient_ip="192.168.1.23"、を取得しました。user_name="mike.brown"また、Logstash 構成の別のフィルターで、squid アクセス ログもフィルタリングし、 を取得しsrc_ip="192.168.1.23"ました。
私の質問は、squid アクセス ログの client_ip が Kibana のキャプティブ ポータルの src_ip と等しい user_name を取得するためにクエリを実行するにはどうすればよいですか?