Logstash事件日誌過濾器

我需要過濾來自logstash的Microsoft事件日誌中的錯誤消息。 ELK是ubunu 14.04機器上運行Logstash事件日誌過濾器

logstash配置

input { 
    tcp { 
    port => 5045 
    type => 'eventlog' 

    } 
} 
filter{ 

if [type] == 'eventlog' { 
    if [Severity] == "ERROR" { 
    mutate { 
     add_tag => "error" 
    } 
    } 
} 


} 
output { 

    elasticsearch { 
     hosts => ["IP_ADDRSS:9200"] 
     } 

    if "error" in [tags]{ 

    stdout { codec => 'rubydebug' } 
} 
}

不過還是我收到數以千計的，我不能過濾掉錯誤日誌事件日誌時的。如何從所有類型的事件日誌中有效地過濾錯誤日誌？

來源

2016-05-31 Babeesh

你如何提取數據？從輸入配置中不清楚。如果你使用Winlogbeat，過濾應該可以正常工作。

來源

2016-05-31 07:33:09

我正在使用nxlog將數據輸入到logstash – Babeesh

沒有標籤名爲「嚴重性：錯誤」。所以我在tcp輸入中添加了codec =>「json」。現在日誌中有錯誤標籤。所以我可以過濾掉它。

來源

2016-06-03 06:22:29 Babeesh

Logstash事件日誌過濾器

回答

相關問題