logstash-在动态列表中存储字段内容
目的:跟踪Windows日志中的特权用户活动 逻辑: 如果登录事件包含令牌elev%1937或%1938,请将登录id(十六进制值)保存到动态priv_登录列表中 对于后续事件,如果事件中的登录id与priv_logons列表中的一个条目匹配,则向事件添加“privileged”标记 当接收到带有保存在priv_logons列表中的某个登录ID的注销事件时,请将其从列表中删除logstash-在动态列表中存储字段内容,logstash,Logstash,目的:跟踪Windows日志中的特权用户活动 逻辑: 如果登录事件包含令牌elev%1937或%1938,请将登录id(十六进制值)保存到动态priv_登录列表中 对于后续事件,如果事件中的登录id与priv_logons列表中的一个条目匹配,则向事件添加“privileged”标记 当接收到带有保存在priv_logons列表中的某个登录ID的注销事件时,请将其从列表中删除 这在LogStash行得通吗?如果是,怎么做?不仅仅是Logstash Logstash不在事件之间维护内部状态或数据对
这在LogStash行得通吗?如果是,怎么做?不仅仅是Logstash Logstash不在事件之间维护内部状态或数据对象,它只是一个解析引擎 Logstash可以帮助您创建此类解决方案,方法是执行解析工作,然后将干净、合理的数据传递给执行您正在寻找的逻辑的程序