Добрый день.
Использую ELK для просмотра логов Active Directory. В частности - событий авторизации 4624.
Но, поскольку при 1 событии авторизации генерируется несколько событий 4624 с одним и тем же winlog.event_data.LogonGuid, вижу их как много разных событий.
Хочу группировать события, для которых в поле winlog.event_data.LogonGuid одинаковые значения.
Пробовала такой вариант, но он не дал результат:
"aggs" : {
"logins" : {
"terms" : {
"field" : "winlog.event_data.LogonGuid"
}
}
}