logstash解析windows事件id 1102_Logstash_Logstash Grok

logstash解析windows事件id 1102

logstash

logstash解析windows事件id 1102,logstash,logstash-grok,Logstash,Logstash Grok,您好，我是logstash的新手。当我试图解析logstash中的@code>message字段时，它是从nxlog输出的。有谁能建议我如何在grok中使用regex来解析下面的@message字段吗 “已清除审核日志。\r\n对象：\r\n\t安全性 ID:\tS-1-5-21-1753799626-3523340796-3104826135-1001\r\n\t计数名称：\tJhon\r\n\t域名：\tJactrix\r\n\t登录ID:\t1x12325” 我使用下面的grok模式来解

您好，我是

logstash

的新手。当我试图解析

logstash

中的@code>message字段时，它是从

nxlog

输出的。有谁能建议我如何在grok中使用regex来解析下面的@message字段吗

“已清除审核日志。\r\n对象：\r\n\t安全性 ID:\tS-1-5-21-1753799626-3523340796-3104826135-1001\r\n\t计数名称：\tJhon\r\n\t域名：\tJactrix\r\n\t登录ID:\t1x12325”

我使用下面的grok模式来解析

匹配=>{“%{@message}”=> “%%{GREEDYDATA:msg}\r\n对象：%%{DATA}\r\n\t安全性 ID:\t%{USERNAME}\r\n\t帐户名：%{greedydydata}\r\n\t主机名称：\t%{GREEDYDATA}\r\n\t登录ID:\t%{GREEDYDATA}}

谢谢

作为初学者，您可以尝试以下模式：

%{GREEDYDATA:msg}.*Subject:%{GREEDYDATA:subject}.*Security ID:%{GREEDYDATA:securityId}.*Account Name:%{GREEDYDATA:accountName}Domain Name:%{GREEDYDATA:domainName}Logon ID:%{GREEDYDATA:logonID}

然后尝试根据日志文件的结构优化模式（例如，accountName可能是%{WORD}或….）。您可以使用来测试您的模式。可在此处找到预定义模式的列表：