javascript - 解析深度安全日志 - AWS Lambda 'splunk-logger' node.js
问题描述
我正在尝试修改一个名为“splunk-logger”的 Node.js 函数。问题是当 SNS 消息进入函数时,来自防病毒 (Trend Micro DeepSecurity) 控制台的事件被组合在一起。我已经联系了他们的支持,他们说这只是发送事件的方式,他们无能为力。
示例:{消息 {Event_1} {Event_2} {Event_3}}
现在 JavaScript 函数运行良好,事件被转发到 Splunk。但是,由于它们甚至在它们到达 Lambda 函数之前就被组合在一起,因此 Splunk 将它们视为 1 个单个事件而不是 3 个。
我的想法是获取“事件”变量(因为它包含sns“消息”)并解析它以分离每个事件(可能使用正则表达式或其他东西)。然后,我可以创建另一个函数来立即发送每个事件,或者简单地调用“logger.flushAsync”函数来发送它们。
链接到 splunk-dev 解释功能:http: //dev.splunk.com/view/event-collector/SP-CAAAAE6Y#create。
下面是 index.js 中的代码:
const loggerConfig = {
url: process.env.SPLUNK_HEC_URL,
token: process.env.SPLUNK_HEC_TOKEN,
};
const SplunkLogger = require('./lib/mysplunklogger');
const logger = new SplunkLogger(loggerConfig);
exports.handler = (event, context, callback) => {
console.log('Received event:', JSON.stringify(event, null, 2));
// Log JSON objects to Splunk
logger.log(event);
// Send all the events in a single batch to Splunk
logger.flushAsync((error, response) => {
if (error) {
callback(error);
} else {
console.log(`Response from Splunk:\n${response}`);
callback(null, event.key1); // Echo back the first key value
}
});
};
这是 mysplunklogger.js 文件中的代码。
'use strict';
const url = require('url');
const Logger = function Logger(config) {
this.url = config.url;
this.token = config.token;
this.addMetadata = true;
this.setSource = true;
this.parsedUrl = url.parse(this.url);
// eslint-disable-next-line import/no-dynamic-require
this.requester = require(this.parsedUrl.protocol.substring(0, this.parsedUrl.protocol.length - 1));
// Initialize request options which can be overridden & extended by consumer as needed
this.requestOptions = {
hostname: this.parsedUrl.hostname,
path: this.parsedUrl.path,
port: this.parsedUrl.port,
method: 'POST',
headers: {
Authorization: `Splunk ${this.token}`,
},
rejectUnauthorized: false,
};
this.payloads = [];
};
// Simple logging API for Lambda functions
Logger.prototype.log = function log(message, context) {
this.logWithTime(Date.now(), message, context);
};
Logger.prototype.logWithTime = function logWithTime(time, message, context) {
const payload = {};
if (Object.prototype.toString.call(message) === '[object Array]') {
throw new Error('message argument must be a string or a JSON object.');
}
payload.event = message;
// Add Lambda metadata
if (typeof context !== 'undefined') {
if (this.addMetadata) {
// Enrich event only if it is an object
if (message === Object(message)) {
payload.event = JSON.parse(JSON.stringify(message)); // deep copy
payload.event.awsRequestId = context.awsRequestId;
}
}
if (this.setSource) {
payload.source = `lambda:${context.functionName}`;
}
}
payload.time = new Date(time).getTime() / 1000;
this.logEvent(payload);
};
Logger.prototype.logEvent = function logEvent(payload) {
this.payloads.push(JSON.stringify(payload));
};
Logger.prototype.flushAsync = function flushAsync(callback) {
callback = callback || (() => {}); // eslint-disable-line no-param-reassign
console.log('Sending event(s)');
const req = this.requester.request(this.requestOptions, (res) => {
res.setEncoding('utf8');
console.log('Response received');
res.on('data', (data) => {
let error = null;
if (res.statusCode !== 200) {
error = new Error(`error: statusCode=${res.statusCode}\n\n${data}`);
console.error(error);
}
this.payloads.length = 0;
callback(error, data);
});
});
req.on('error', (error) => {
callback(error);
});
req.end(this.payloads.join(''), 'utf8');
};
module.exports = Logger;
解决方案
import requests
import re
import json
import os
def lambda_handler(event, context):
data = json.dumps(event)
EventIds = re.findall(r'{\\\".+?\\\"}', data)
EventLength = len(EventIds)
headers = {'Authorization': 'Splunk ' + os.environ['SPLUNK_HEC_TOKEN']}
i = 0
while i < EventLength:
response = requests.post(os.environ['SPLUNK_HEC_URL'], headers=headers, json={"event":EventIds[i]}, verify=True)
i+=1
推荐阅读
- android - 滚动片段位于 Activity 顶部,导致 Activity 视图下方滚动
- sql - SSIS表达式将变量作为列然后抛出错误
- django - 通过 Nginx 代理 HTTPS 向 docker-compose 中的 gunicorn django 提供静态文件
- bounding-box - 如何使用 fastai 为自定义训练图像分类器绘制预测类的边界框
- python - doctest 失败,而输出似乎正确
- admob - 如何将 Google Admob 的欧盟同意政策模板翻译成不同的语言?
- json - 如何解析 JSON 文件中的值并返回 MessageBox 中的值?
- python - 我们可以在熊猫的 iloc 中使用 contains 属性吗?
- winforms - 如何保留表单控件但删除布局面板?
- firebase - RTCMulticonnection 不适用于 Firebase