1、支持远程splunk大数据日志的提取和分析 2、支持自定义规则进行去重、去静态、去相似等方法，已集成部分规则，另一部分规则需要按照场景和日志进行统计设定 3、支持按照五元素json存储结果到redis(方法、协议、域名、接口、参数) 

1、逻辑上日志一般不存储post body，假如存储了，恭喜你可通过日志获取所有接口。 2、日志使用splunk搭建，并提取相应的字段，分别对应为ng_request_method、ng_status、ng_request_domain、ng_request_url_short、ng_query 3、、自定义splunk搜索规则保存在redis的中，可动态修改，如去静态资源、去相似url、去敏感域名、任务最大时间、搜索时间等。 4、去重过滤，计算出MD5(方法+接口)值，利用redis唯一key进行去重 5、结果redis存储Key是去重md5值，VALUE是json存储的五元素 6、结果为反复覆盖式存储，可保持请求最新 

PassiveDataSorting ----lib #模块库文件 ----run.py #程序主程序 

1、任意机子安装redis $ yum install redis $ vim /etc/redis.conf # 更改bind 127.0.0.1 改成了 bind 0.0.0.0 # 添加一行requirepass xxxxx密码 # 修改daemonize yes $ redis-server /etc/redis.conf 2、配置脚本 2） $ pip install -r requirements.txt 3） 配置./lib/config.py 文件，填入Redis和相关规则，后期可以直接在redis进行规则更改添加 4） $ python run.py	#可配置成crontab 定时执行，比如1小时执行一次，查询日志中的前5分钟请求。 

# redis 配置信息 REDIS_HOST = '127.0.0.1' REDIS_PORT = 6379 REDIS_PASSWORD = 'xxxxxx' REDIS_DB = 6 # Splunk配置信息 SPLUNK_HOST = "10.1.2.10" SPLUNK_PORT = 8089 SPLUNK_SCHEME = "https" SPLUNK_USERNAME = "xxxxx" SPLUNK_PASSWORD = "xxxxxx" # query保存查询语句 # earliest_time查询时间，从现在往前推多长时间 # max_time 表示任务执行最大时间 #请使用rename函数保证字段名称一致，ng_request_method、ng_request_domain、ng_request_url_short、ng_query、ng_status rule = { 'query': ''' search index=nginx ng_request_method=GET ng_status!=40* |eval ng_request_url_short=lower(ng_request_url_short) |regex ng_request_url_short != "(?i)(.+\.(htm|html|ico|mp3|js|jpg|jped|gif|xml|zip|css|png|txt|ttf|rar|gz))$" |regex ng_request_url_short != "(?i)((\d+){5,})" |rex field=ng_request_url_short mode=sed "s/\/$//g" |stats last(ng_request_domain) last(ng_query) by ng_request_url_short, ng_status, ng_request_method |rename "last(ng_request_domain)" as ng_request_domain |rename "last(ng_query)" as ng_query''', 'earliest_time': '-1m', 'max_time': 60 }