Фильтр журнала событий Logstash

Мне нужно отфильтровать сообщения об ошибках из журналов событий Microsoft из logstash. ELK работает на машине Ubuntu 14.04.

конфигурация logstash

input {
   tcp {
     port => 5045
     type => 'eventlog'

   }
}
filter{

if [type] == 'eventlog' {
    if [Severity] == "ERROR" {
    mutate {
      add_tag => "error"
    }
  }
}


}
output {

  elasticsearch {
         hosts => ["IP_ADDRSS:9200"]
      }

   if "error" in [tags]{

   stdout { codec => 'rubydebug' }
}
}

Но все же я получаю тысячи журналов событий, из которых не могу отфильтровать журналы ошибок. Как эффективно фильтровать журналы ошибок из всех типов журналов событий?


elastic-stack logstash event-log
person Babeesh    schedule 31.05.2016    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Как вы принимаете данные? Не ясно из входной конфигурации. Если вы используете Winlogbeat, фильтрация должна работать нормально.

person Roy Rubin    schedule 31.05.2016

arrow_upward
0
arrow_downward

Отсутствовал тег с именем "Severity:ERROR". Поэтому я добавил кодек => «json» во ввод tcp. Теперь в журнале есть тег ошибки. Так что могу отфильтровать.

person Babeesh    schedule 03.06.2016