如何在Logstash中解析审计信号"event.type“?
在Logstash中解析审计信号"event.type",可以通过使用Logstash的filter插件来实现。
首先,需要在Logstash的配置文件中添加一个filter插件,用于解析审计信号。可以使用grok插件来匹配和提取"event.type"字段的值。
以下是一个示例配置文件的代码:
input {
# 输入配置
}
filter {
grok {
match => { "message" => "event\.type:%{WORD:event_type}" }
}
}
output {
# 输出配置
}在上述配置中,使用grok插件的match参数来匹配"event.type"字段的值,并将其提取到一个名为"event_type"的新字段中。
接下来,可以根据需要进行进一步的处理和操作,例如将解析后的字段值用于过滤、聚合、转换等操作,或者将其作为输出的一部分。
对于Logstash的filter插件,可以根据具体需求选择适合的插件。例如,如果需要对解析后的字段进行条件判断,可以使用if条件语句来实现。
关于Logstash的更多详细信息和使用方法,可以参考腾讯云的Logstash产品介绍页面:Logstash产品介绍。
注意:本回答中没有提及亚马逊AWS、Azure、阿里云、华为云、天翼云、GoDaddy、Namecheap、Google等品牌商,仅提供了关于Logstash中解析审计信号"event.type"的解决方案。
相关·内容
我在我的几个主机上安装了几乎默认的Auditbeat,这些主机也在审计/etc的更改,将日志数据转发到其他地方的Logstash实例。因此,我开始使用Logstash解析和向事件添加字段。我遇到了一个有趣的问题:如果我查询的东西属于JSON中根目录下的任何自定义树,但是event,Logstash过滤器可以工作,但是如果我决定查询[event][type],结果总是假的。问题是,如果我只是将"%{[event][type]}"填充到消息中,
浏览 26提问于2021-02-26得票数 0
我希望为进程运行时访问的每个文件生成一个报告或文件访问计数直方图。...And不仅是该进程访问的文件,而且理想情况下,所有子/外孙/etc进程也是如此。(如果做不到这一点,整个系统的报告就没问题了。)我在谷歌上搜索过诸如"linux文件访问计数直方图“之类的短语,但没有发现任何似乎符合这一需求的内容。
是否有一个现有的工具可以实现这一点?我更喜欢开源/免费软件。
浏览 0提问于2014-12-18得票数 0
回答已采纳
我安装了Logstash来解析apache文件。我花了相当长的时间才得到正确的设置,我总是在真正的日志上尝试。我注意到(如文档所述) logstash“记得”它在文件中的位置。现在我的布景没问题,我希望Logstash“忘记”。这似乎比我更难。我已经做了以下工作:
查看哪些文件是用lsof -p PID用lo
浏览 11提问于2013-10-23得票数 95
你好,我是logstash的新成员。当我试图解析logstash中的@logstash字段时,这是来自nxlog的输出。请有人建议我如何在grok中使用regex来解析下面的@message字段。3523340796-3104826135-1001\r\n\tAccount Name:\tJhon\n\t域名:\tJactrix\r\n\tLogon:\t1x12325”
我使用下面的grok模式来解析
浏览 6提问于2015-10-28得票数 0
回答已采纳
1回答
问题:安装在Ubuntu14.04VM中的Geoserver (2.8.0) 突然停止创建审计日志。
背景:几个月前,我按照的指示在Geoserver中启用了审计日志记录。该过程很成功,允许我使用ElasticSearch、Logstash和Kibana解析日志,以了解服务的使用情况。最近对分析结果的审查表明,在相当长的一段时间内没有Geoserver活动,这表明审计日志可能存在问题。我检查了审计日志生成,这表明在相当长的时间内(即数周)没有创建任何日
浏览 4提问于2016-09-06得票数 0
回答已采纳
目前,logstash从azure事件集线器中提取JSON数组,需要将其拆分为多个事件。基本上,我希望将数组拆分,以便logstash将记录中的每个json日志作为单独的事件发送给弹性日志,并被解析为JSON。我还需要将单个JSON日志重命名/解析到ECS中,因此目前认为我需要将记录解析为json,然后在发送到弹性之前将输出解析为json,然后执行一些变异的重命名过滤器,除非在logstash中将解析为JS
浏览 30提问于2022-01-11得票数 0
回答已采纳
有人知道如何从文件中解析单行并为不同的输出进行解析吗?例如:输入是一个日志文件,输出是具有不同模板的elasticsearch索引。我需要解析每一行并将其保存到第一个索引中,还有一些行有一个宣传代码(如?promo=wteaewfsthser),我也需要将它放到另一个索引中。我认为可以使用两个logstash实例(如果我错了请纠正我)。但是我想知道是否可以使用logstash的单个实例和一个配置文件?
谢谢,伊戈尔
浏览 2提问于2015-12-21得票数 0
回答已采纳
2回答
我想审核Oracle11g标准版本上的两个表(选择、插入、更新、删除)。是否有可能拥有Oracle11g标准版本,并且无需支付额外的许可证
浏览 9提问于2011-11-03得票数 2
回答已采纳
有时,由于完整日志文件中某些日志行的模式不正确,logstash会跳过。 它只发送模式与我所写的grok语法匹配的所有行。我想看看logstash跳过或没有读取哪些日志行,这样我们就可以纠正这个模式。output {
}
} 但是它只输出logstash读取的行的grok解析失败 那么如何在输出
浏览 42提问于2019-03-22得票数 0
在logstash中,mongodb日志有几个。
但是,由于有多种类型的模式(mongo_log、mongo_query等),我不确定如何在解析mongodb.log文件的过滤器中使用这些模式
浏览 0提问于2014-05-08得票数 3
我们有一台单独的服务器用于logstash,日志位于远程机器上。我们使用lumberjack的logstash插件将这些相同的日志从远程机器发送到logstash服务器。/logstash.pub"我希望从文件输入的path变量中提取字段,以便对不同的字段值应用不同的解析模式。<logfilename>.*)_log"]这里的server,logtype是我希望在我的字段中应用不同解析模式的目录名,如下所示:
浏览 0提问于2014-07-11得票数 0
我需要在logstash 1.5.2中安装gems#test.conf
input {file { path => "/
浏览 2提问于2015-08-07得票数 2
需要帮助解析columnA中包含服务器名称的csv文件&将从columnB中的Jumphost中打开的各自的json文件(无密码身份验证从jumphost到所有服务器)#!tt -q $field1 'cat $field2'done < INC-State.csv ServerName,FilenameServer2,/apps&#
浏览 2提问于2021-09-07得票数 0
如何在单个网格列中同时显示PXDBDate字段(如CreatedDateTime审计字段)的日期和时间?
将TimeMode属性设置为True仅显示时间,而不再显示日期。
浏览 12提问于2019-10-21得票数 1
回答已采纳
1回答
我正在尝试使用logstash匹配以下日期:使用以下内容: match => ["report_time", "EEEEEE MMM dd HH:mm:ss z yyyy", 我认为是z部分导致了这个问题,有人能解释一下如何解析时区吗
浏览 0提问于2016-04-09得票数 1
1回答
我正在按照这个博客中的步骤来设置rsyslog + logstash + graylog2,并且我不知道如何使用变异的->替换过滤器来替换logstash中的@source_host属性。在示例中,作者用一个字符串值替换了他的@source_host,但是我想使用实际值,这个值在本例中解析为syslog。replace => ["@source_host", "loc1"]mutate {
type =>
浏览 0提问于2012-04-13得票数 5
6回答
SAP Hybris不会将这些信息存储在数据库中,因此有必要搜索日志。每个节点都有一个类似log/tomcat/access.2018-11-22.log的文件。手动检查每个文件是不合理的。
浏览 5提问于2018-11-22得票数 0
我想将一个字段转换为json列表,sg如下所示:"person":{ "name":"XX","adress":"124“}"person":{"name":"XX","adress":"124"}
浏览 5提问于2017-03-15得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
