Configuration

Logstash 條件過濾器未應用

  • March 7, 2017

我的 Windows 伺服器上有 nxlog,將日誌發送到 Logstash(JSON 格式)。我想將安全事件複製到 SIEM,因此我添加了擷取某些 Windows 事件 ID 的邏輯:

Logstash 配置

即使應用了“Windows 事件日誌”標籤(通過“add_tag”),也從未添加過“Windows 安全事件”,即使我查看日誌並找到像 4624 這樣的 EventID。

以下是完整的純文字 logstash.conf 供參考:

input {tcp{port=>1514}}
filter {
       if "im_msvistalog" in [message] {
               json {source => "message"}
               mutate {add_tag => "Windows Event Log"}
               if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" { 
                       mutate {add_tag => "Windows Security Event"}
               }
       }
}
output {stdout{codec=>rubydebug}}

編輯:這是輸出的樣子: 在此處輸入圖像描述

EventID 是一個整數,但您正在字元串比較中對其進行測試。嘗試刪除 if 塊中數字周圍的引號。

引用自:https://serverfault.com/questions/836848

相關問答

Configuration

logstash 管道中指令的範圍是什麼?

  • August 11, 2015
檢視問答
Linux

PHP 的 error_log 是否依賴於作業系統、配置文件或其他東西?

  • November 5, 2022
檢視問答
Ssh

ssh_config 相當於 ssh -t

  • October 24, 2022
檢視問答
Nginx

Nginx 中的“如果在位置”上下文是什麼意思?

  • June 23, 2022
檢視問答
Nginx

nginx 一個站點重定向到另一個站點

  • May 18, 2022
檢視問答
Nginx

Nginx 位置配置

  • May 1, 2022
檢視問答