Logstash过滤条件没有得到应用

我的Windows服务器上运行Logstash（JSON格式）的nxlog。 我想克隆安全事件到SIEM，所以我添加了逻辑来捕获特定的Windows事件ID：

即使“Windows事件日志”标签被应用（通过“add_tag”），“Windows安全事件”也不会被添加，即使当我查看日志并find类似于4624的EventID时也是如此。

以下是完整的纯文本logstash.conf：

• 使用-F时，ssh无法从configuration中parsing第二个主机
• Apache 2.2redirect所有，但一个目录
• LVM：逻辑卷映射的大小比文件系统使用的磁盘空间大得多
• Apache在dynamic主机上重写为nginx
• 为什么nginx服务http2，还是它？

input {tcp{port=>1514}} filter { if "im_msvistalog" in [message] { json {source => "message"} mutate {add_tag => "Windows Event Log"} if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" { mutate {add_tag => "Windows Security Event"} } } } output {stdout{codec=>rubydebug}} 

编辑：这是输出的样子：