Configuration

Logstash 條件過濾器未應用

  • March 7, 2017

我的 Windows 伺服器上有 nxlog,將日誌發送到 Logstash(JSON 格式)。我想將安全事件複製到 SIEM,因此我添加了擷取某些 Windows 事件 ID 的邏輯:

Logstash 配置

即使應用了“Windows 事件日誌”標籤(通過“add_tag”),也從未添加過“Windows 安全事件”,即使我查看日誌並找到像 4624 這樣的 EventID。

以下是完整的純文字 logstash.conf 供參考:

input {tcp{port=>1514}}
filter {
       if "im_msvistalog" in [message] {
               json {source => "message"}
               mutate {add_tag => "Windows Event Log"}
               if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" { 
                       mutate {add_tag => "Windows Security Event"}
               }
       }
}
output {stdout{codec=>rubydebug}}

編輯:這是輸出的樣子: 在此處輸入圖像描述

EventID 是一個整數,但您正在字元串比較中對其進行測試。嘗試刪除 if 塊中數字周圍的引號。

引用自:https://serverfault.com/questions/836848