Graylog проверяет, правдоподобно ли время

Примерно так: timestamp > now - и timestamp ‹ now + Итак, если сообщение не в будущем или слишком сильно в прошлом.

Я пытался сделать это с помощью конвейеров, но не смог получить метку времени и добавить туда несколько секунд, а также не смог сверить время с меткой времени в сообщении. Идея с конвейерами заключалась в том, чтобы проверить и записать новое поле, если время не подходит, и создать сигнал тревоги, который ищет это поле.


graylog3
person SySx-Dragonfire    schedule 04.03.2020    source источник
comment
Что именно вы хотите сделать? Создать оповещение в Graylog с интервалом метки времени?   -  person muhammed ozbilici    schedule 11.03.2020
comment
Просто создайте оповещение, когда время в сообщении неверно, например, когда сообщение из будущего.   -  person SySx-Dragonfire    schedule 12.03.2020

Ответы (1)


arrow_upward
0
arrow_downward

Попробуйте это правило конвейера, которое вставляет новое поле, если отметка времени меньше или больше 1 часа от времени сервера:

rule "check wrong timestamp"
when
    parse_date(value: to_string($message.timestamp), pattern: "yyyy-MM-dd'T'HH:mm:ss.SSS'Z'") - seconds(3600) > now() || 
    parse_date(value: to_string($message.timestamp), pattern: "yyyy-MM-dd'T'HH:mm:ss.SSS'Z'") + seconds(3600) < now()
then
  //set_field("timestamp", now()); // uncomment if want to fix timestamp
  set_field("timestamp_problem", "true");
end
person shoothub    schedule 10.08.2020