Squid 代理
编辑Squid 代理
编辑Squid 是一款缓存和转发 HTTP Web 代理。使用 Squid 代理集成来监控 Squid 代理访问日志。
数据流
编辑此集成支持通过 Filestream、TCP 和/或 UDP 输入来提取 Squid 代理的日志。
Log 用于检索 Squid 代理生成的访问日志消息。有关更多详细信息,请参阅 access.log 和 Squid 本机 access.log 格式详细信息。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
必须安装 Elastic Agent。有关更多信息,请参阅 安装 Elastic Agent。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装由 Fleet 管理的 Elastic Agent(推荐)
编辑通过此方法,您将安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过此方法,您将安装 Elastic Agent 并在安装它的系统上本地手动配置代理。您负责管理和升级代理。此方法仅保留给高级用户使用。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 镜像都可以从 Elastic Docker 注册表获得,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求。有关更多信息,请参阅 安装 Elastic Agent。
所需的最低 Kibana 版本 为 8.14.1。
设置
编辑配置 Squid 以使用支持的方法之一(文件(模块:标准 I/O)、udp(模块:UDP 接收器)或 tcp(模块:TCP 接收器))导出访问日志。
集成支持以下格式
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到 Management > Integrations。
- 在 搜索集成 栏中,键入
Squid 代理。 - 从搜索结果中选择
Squid 代理集成。 - 单击 添加 Squid 代理 以添加集成。
- 根据启用的输入类型添加所有必需的集成配置参数。
- 单击 保存并继续。
日志参考
编辑日志
编辑log 数据集收集 Squid 日志。
示例事件
编辑示例
log 的示例事件如下所示
{
"@timestamp": "2006-09-08T04:21:52.049Z",
"agent": {
"ephemeral_id": "703e0801-aef8-4d26-aa48-12c7673f6df0",
"id": "29b8ade0-b4ef-4ce2-ab55-0acc99bbb914",
"name": "elastic-agent-52603",
"type": "filebeat",
"version": "8.15.0"
},
"data_stream": {
"dataset": "squid.log",
"namespace": "63238",
"type": "logs"
},
"destination": {
"address": "175.16.199.115",
"bytes": 19763,
"geo": {
"city_name": "Changchun",
"continent_name": "Asia",
"country_iso_code": "CN",
"country_name": "China",
"location": {
"lat": 43.88,
"lon": 125.3228
},
"region_iso_code": "CN-22",
"region_name": "Jilin Sheng"
},
"ip": "175.16.199.115"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "29b8ade0-b4ef-4ce2-ab55-0acc99bbb914",
"snapshot": false,
"version": "8.15.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"web"
],
"dataset": "squid.log",
"duration": 5006000000,
"ingested": "2024-09-03T18:27:38Z",
"kind": "event",
"original": "1157689312.049 5006 10.105.21.199 TCP_MISS/200 19763 CONNECT login.yahoo.com:443 badeyek DIRECT/175.16.199.115 -",
"outcome": "success",
"type": [
"access"
]
},
"http": {
"request": {
"method": "CONNECT"
}
},
"input": {
"type": "filestream"
},
"log": {
"file": {
"device_id": "35",
"inode": "442644",
"path": "/tmp/service_logs/squid-log-access.log"
},
"offset": 0
},
"observer": {
"product": "Squid",
"type": "proxy",
"vendor": "Squid"
},
"related": {
"ip": [
"10.105.21.199",
"175.16.199.115"
],
"user": [
"badeyek"
]
},
"source": {
"address": "10.105.21.199",
"ip": "10.105.21.199",
"user": {
"name": "badeyek"
}
},
"squid": {
"peer_status": "DIRECT",
"result_code": "TCP_MISS",
"status_code": 200
},
"tags": [
"preserve_original_event",
"squid-log",
"forwarded"
],
"url": {
"original": "login.yahoo.com:443"
}
}
导出的字段
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
container.id |
唯一容器 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.device_id |
包含文件所在文件系统的设备的 ID。 |
keyword |
log.file.fingerprint |
启用指纹识别时,文件的 sha256 指纹标识。 |
keyword |
log.file.idxhi |
与文件关联的唯一标识符的高位部分。(仅限 Windows) |
keyword |
log.file.idxlo |
与文件关联的唯一标识符的低位部分。(仅限 Windows) |
keyword |
log.file.inode |
日志文件的 Inode 编号。 |
keyword |
log.file.path |
此事件来自的日志文件的完整路径。 |
keyword |
log.file.vol |
包含文件的卷的序列号。(仅限 Windows) |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
squid.content_type |
在 HTTP 响应标头中看到的内容类型。 |
keyword |
squid.peer_status |
一个代码,用于说明如何处理请求,是通过将其转发到对等方还是直接转到源。 |
keyword |
squid.result_code |
请求的结果。 |
keyword |
squid.status_code |
结果的状态。 |
长整型 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.0.3 |
Bug 修复 (查看拉取请求) |
8.14.1 或更高版本 |
1.0.2 |
Bug 修复 (查看拉取请求) |
8.14.1 或更高版本 |
1.0.1 |
增强 (查看拉取请求) |
8.14.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.14.1 或更高版本 |
0.21.0 |
Bug 修复 (查看拉取请求) |
— |
0.20.0 |
增强 (查看拉取请求) |
— |
0.19.3 |
Bug 修复 (查看拉取请求) |
— |
0.19.2 |
增强 (查看拉取请求) |
— |
0.19.1 |
Bug 修复 (查看拉取请求) |
— |
0.19.0 |
增强 (查看拉取请求) |
— |
0.18.0 |
增强 (查看拉取请求) |
— |
0.17.0 |
增强 (查看拉取请求) |
— |
0.16.0 |
增强 (查看拉取请求) |
— |
0.15.0 |
增强 (查看拉取请求) |
— |
0.14.0 |
增强 (查看拉取请求) |
— |
0.13.0 |
增强 (查看拉取请求) |
— |
0.12.1 |
增强 (查看拉取请求) |
— |
0.12.0 |
增强 (查看拉取请求) |
— |
0.11.2 |
Bug 修复 (查看拉取请求) |
— |
0.11.1 |
Bug 修复 (查看拉取请求) |
— |
0.11.0 |
增强 (查看拉取请求) |
— |
0.10.1 |
增强 (查看拉取请求) |
— |
0.10.0 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
错误修复 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.4 |
增强 (查看拉取请求) |
— |
0.5.3 |
增强 (查看拉取请求) |
— |
0.5.2 |
错误修复 (查看拉取请求) |
— |
0.5.1 |
错误修复 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.3 |
错误修复 (查看拉取请求) |
— |
0.4.2 |
增强 (查看拉取请求) |
— |
0.4.1 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.4 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |