【问题标题】:logstash parse windows event id 1102logstash 解析 Windows 事件 ID 1102
【发布时间】:2015-10-28 12:19:31
【问题描述】:

您好,我是logstash 的新成员。当我试图解析logstash 中的@message 字段时,它是nxlog 的输出。谁能建议我如何在 grok 中使用正则表达式来解析下面的@message 字段。

“审核日志已清除。\r\n主题:\r\n\t安全 ID:\tS-1-5-21-1753799626-3523340796-3104826135-1001\r\n\t账户 名称:\tJhon\r\n\t域名:\tJactrix\r\n\t登录 ID:\t1x12325"

我正在使用以下 grok 模式进行解析

匹配 => { "%{@message}" => "%{GREEDYDATA:msg}\r\n主题:%{DATA}\r\n\t安全 ID:\t%{USERNAME}\r\n\t帐户名:%{GREEDYDATA}\r\n\t域 名称:\t%{GREEDYDATA}\r\n\t登录 ID:\t%{GREEDYDATA}" }

谢谢

【问题讨论】:

    标签: logstash logstash-grok


    【解决方案1】:

    作为初学者,您可以尝试以下模式:

    %{GREEDYDATA:msg}.*Subject:%{GREEDYDATA:subject}.*Security ID:%{GREEDYDATA:securityId}.*Account Name:%{GREEDYDATA:accountName}Domain Name:%{GREEDYDATA:domainName}Logon ID:%{GREEDYDATA:logonID}
    

    然后尝试根据日志文件的结构优化模式(例如,帐户名可能是 %{WORD} 或 ....)。您可以使用http://grokdebug.herokuapp.com/ 来测试您的模式。可在此处找到预定义模式列表:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-07-03
      • 2021-03-31
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多