elasticsearch ELK用于windows日志处理

我在Debian Wheezy上制作了一个有效的ELK堆栈，并设置了Nxlog来收集windows日志。我在Kibana中看到了日志-一切正常，但是我得到了太多的数据，希望通过删除一些我不需要的字段来过滤它

我做了一个过滤部分，但它根本不起作用。原因可能是什么？ 上面的过滤器

input {
tcp {
    type   => "eventlog"
    port   => 3515
    format => "json"
        }
}
filter {
    type => "eventlog"
   mutate {
           remove => { "Hostname",  "Keywords", "SeverityValue", "Severity", "SourceName", "ProviderGuid" }
           remove => { "Version", "Task", "OpcodeValue", "RecordNumber", "ProcessID", "ThreadID", "Channel" }
           remove => { "Category", "Opcode", "SubjectUserSid", "SubjectUserName",  "SubjectDomainName" }
           remove => { "SubjectLogonId", "ObjectType", "IpPort", "AccessMask", "AccessList", "AccessReason" }
           remove => { "EventReceivedTime", "SourceModuleName", "SourceModuleType", "@version", "type" }
           remove => { "_index", "_type", "_id", "_score", "_source", "KeyLength", "TargetUserSid" }
           remove => { "TargetDomainName", "TargetLogonId", "LogonType", "LogonProcessName", "AuthenticationPackageName" }
           remove => { "LogonGuid", "TransmittedServices", "LmPackageName", "ProcessName", "ImpersonationLevel" }
           }
    } 
output {
elasticsearch {
    cluster => "wisp"
    node_name => "io"
    }
}

---

我认为您试图删除一些日志中不存在的字段。 你所有的日志都包含你要删除的所有封地吗？ 如果没有，则必须在删除字段之前标识日志。 您的筛选器配置如下所示：

filter {
    type => "eventlog"
    if [somefield] == "somevalue" {
        mutate {
            remove => { "specificfieldtoremove1", "specificfieldtoremove2" }
        }
    }
}

---

问题是不再支持remove指令，当我使用remove\u field instead时，一切都正常，我没有注意到您没有使用remove\u field指令。但是，是的，没有删除指令了。很高兴知道一切都很好。