我的最终目标是通过Logstash和Winlogbeat将最终用户join域的Windows计算机的相关用户login/注销数据导入ElasticSearch。 Windowslogging了大量我不感兴趣的事件,所以我正在尝试使用Logstashfilter来删除我不关心的事件。
如果我不使用filter,并重新启动我的电脑,然后login,我收到了数百个事件。 有了这个Logstashfilter,当我重新启动计算机时,我不会收到任何事件,但至less应该有几个。
filter { if "winclient" in [tags] { if [event_data][TargetUserSid] = "S-1-5-18" { drop { } } # Event for user SYSTEM if [event_data][TargetUserName] =~ /^.*\$$/ { drop { } } # Event for computer account } } Winlogbeat被configuration为转发多个事件ID:
winlogbeat.event_logs: - name: Security event_id: 4608, 4609, 4624, 4634, 4778, 4779, 4800, 4801, 4802, 4803 tags: ["security"]
这有什么问题,为什么一切都下降了?