Logstash事件日志过滤器

我需要过滤来自logstash的Microsoft事件日志中的错误消息。 ELK是ubunu 14.04机器上运行Logstash事件日志过滤器

logstash配置

input { 
    tcp { 
    port => 5045 
    type => 'eventlog' 

    } 
} 
filter{ 

if [type] == 'eventlog' { 
    if [Severity] == "ERROR" { 
    mutate { 
     add_tag => "error" 
    } 
    } 
} 


} 
output { 

    elasticsearch { 
     hosts => ["IP_ADDRSS:9200"] 
     } 

    if "error" in [tags]{ 

    stdout { codec => 'rubydebug' } 
} 
}

不过还是我收到数以千计的，我不能过滤掉错误日志事件日志时的。如何从所有类型的事件日志中有效地过滤错误日志？

来源

2016-05-31 Babeesh

你如何提取数据？从输入配置中不清楚。如果你使用Winlogbeat，过滤应该可以正常工作。

来源

2016-05-31 07:33:09

我正在使用nxlog将数据输入到logstash – Babeesh

没有标签名为“严重性：错误”。所以我在tcp输入中添加了codec =>“json”。现在日志中有错误标签。所以我可以过滤掉它。

来源

2016-06-03 06:22:29 Babeesh

Logstash事件日志过滤器

回答

相关问题