elasticsearch ELK用于windows日志处理
我在Debian Wheezy上制作了一个有效的ELK堆栈,并设置了Nxlog来收集windows日志。我在Kibana中看到了日志-一切正常,但是我得到了太多的数据,希望通过删除一些我不需要的字段来过滤它 我做了一个过滤部分,但它根本不起作用。原因可能是什么? 上面的过滤器elasticsearch ELK用于windows日志处理,elasticsearch,logstash,event-log,kibana,elasticsearch,Logstash,Event Log,Kibana,我在Debian Wheezy上制作了一个有效的ELK堆栈,并设置了Nxlog来收集windows日志。我在Kibana中看到了日志-一切正常,但是我得到了太多的数据,希望通过删除一些我不需要的字段来过滤它 我做了一个过滤部分,但它根本不起作用。原因可能是什么? 上面的过滤器 input { tcp { type => "eventlog" port => 3515 format => "json" } } filter {
input {
tcp {
type => "eventlog"
port => 3515
format => "json"
}
}
filter {
type => "eventlog"
mutate {
remove => { "Hostname", "Keywords", "SeverityValue", "Severity", "SourceName", "ProviderGuid" }
remove => { "Version", "Task", "OpcodeValue", "RecordNumber", "ProcessID", "ThreadID", "Channel" }
remove => { "Category", "Opcode", "SubjectUserSid", "SubjectUserName", "SubjectDomainName" }
remove => { "SubjectLogonId", "ObjectType", "IpPort", "AccessMask", "AccessList", "AccessReason" }
remove => { "EventReceivedTime", "SourceModuleName", "SourceModuleType", "@version", "type" }
remove => { "_index", "_type", "_id", "_score", "_source", "KeyLength", "TargetUserSid" }
remove => { "TargetDomainName", "TargetLogonId", "LogonType", "LogonProcessName", "AuthenticationPackageName" }
remove => { "LogonGuid", "TransmittedServices", "LmPackageName", "ProcessName", "ImpersonationLevel" }
}
}
output {
elasticsearch {
cluster => "wisp"
node_name => "io"
}
}
我认为您试图删除一些日志中不存在的字段。 你所有的日志都包含你要删除的所有封地吗? 如果没有,则必须在删除字段之前标识日志。 您的筛选器配置如下所示:
filter {
type => "eventlog"
if [somefield] == "somevalue" {
mutate {
remove => { "specificfieldtoremove1", "specificfieldtoremove2" }
}
}
}
问题是不再支持remove指令,当我使用remove\u field instead时,一切都正常,我没有注意到您没有使用remove\u field指令。但是,是的,没有删除指令了。很高兴知道一切都很好。