Configuration
Logstash 條件過濾器未應用
我的 Windows 伺服器上有 nxlog,將日誌發送到 Logstash(JSON 格式)。我想將安全事件複製到 SIEM,因此我添加了擷取某些 Windows 事件 ID 的邏輯:
即使應用了“Windows 事件日誌”標籤(通過“add_tag”),也從未添加過“Windows 安全事件”,即使我查看日誌並找到像 4624 這樣的 EventID。
以下是完整的純文字 logstash.conf 供參考:
input {tcp{port=>1514}} filter { if "im_msvistalog" in [message] { json {source => "message"} mutate {add_tag => "Windows Event Log"} if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" { mutate {add_tag => "Windows Security Event"} } } } output {stdout{codec=>rubydebug}}
EventID 是一個整數,但您正在字元串比較中對其進行測試。嘗試刪除 if 塊中數字周圍的引號。