Logstash Eventlog Filter

Ich muss Fehlermeldungen von Microsoft Eventlogs von Logstash filtern. ELK läuft auf ubunu 14.04 MaschineLogstash Eventlog Filter

logstash Konfiguration

input { 
    tcp { 
    port => 5045 
    type => 'eventlog' 

    } 
} 
filter{ 

if [type] == 'eventlog' { 
    if [Severity] == "ERROR" { 
    mutate { 
     add_tag => "error" 
    } 
    } 
} 


} 
output { 

    elasticsearch { 
     hosts => ["IP_ADDRSS:9200"] 
     } 

    if "error" in [tags]{ 

    stdout { codec => 'rubydebug' } 
} 
}

Aber noch bin ich Tausende von eventlogs, aus denen immer ich kann nicht die Fehlerprotokolle herauszufiltern. Wie effektiv Fehlerprotokolle von allen Arten von Eventlogs filtern?

Quelle

2016-05-31 Babeesh

Wie nehmen Sie die Daten auf? Nicht klar aus der Eingangskonfiguration. Wenn Sie Winlogbeat verwenden, sollte die Filterung gut funktionieren.

Quelle

2016-05-31 07:33:09

Ich benutze nxlog um Daten in logstash einzugeben – Babeesh

Es gab kein Tag namens "Schweregrad: FEHLER". Also habe ich Codec => "Json" in TCP-Eingabe hinzugefügt. Jetzt gibt es ein Fehler-Tag im Protokoll. Also kann ich es herausfiltern.

Quelle

2016-06-03 06:22:29 Babeesh

Antwort

Verwandte Themen