Умножить два поля

zhsv · September 2, 2021, 7:26am

В ELK отправляются события печати windows (код 307 и 805) в одном количество распечатанных страниц во втором количество копий. Необходимо умножить эти значения, чтобы получить сумму распечатанных страниц.
winlog.user_data.Param8 - 2 - распечатал две страницы

_id  Mlt5o3sBfG5S8iaV_QFW
_index  win_print-logs-2021.09.01
_score  1
_type  _doc
@timestamp  Sep 2, 2021 @ 09:28:01.594
@version  1
agent.hostname  MS-307
event.created  Sep 2, 2021 @ 09:28:03.301
tags  win_print, win_print, beats_input_raw_event, _grokparsefailure
winlog.computer_name  MS-307-2.AAA.RT.LOCAL
winlog.user_data.Param5  WF-M5690 Series(Сеть) (Копировать 1)
winlog.user_data.Param8   2

Вот количество копий winlog.user_data.Copies 1

_id MVt5o3sBfG5S8iaV_QFW
_index  win_print-logs-2021.09.01
_score 1
_type  _doc
@timestamp  Sep 2, 2021 @ 09:28:01.594
@version  1
agent.hostname  MS-307-2
event.created  Sep 2, 2021 @ 09:28:03.301
tags  win_print, win_print, beats_input_raw_event, _grokparsefailure
winlog.computer_name  MS-307.AAA.RT.LOCAL
winlog.user_data.Copies  1

Как можно умножить поля winlog.user_data.Copies и winlog.user_data.Param8 чтобы в отчете по имени ПК или пользователю видеть реальное число распечатанных страниц?

Igor_Motov · September 2, 2021, 5:13pm

zhsv · September 2, 2021, 9:29pm

Почитал, но не понял.
п.с. только пару недель как начал работать с ELK.

Igor_Motov · September 2, 2021, 9:47pm

Какую часть?

zhsv · September 3, 2021, 12:27am

Я так понимаю, что там речь идет об агрегировании событий одной и той же задачи.
К меня два разных события журнала виндовс.

Igor_Motov · September 3, 2021, 2:41pm

То есть вы не знаете какая запись про количество страниц относиться к какой записи про количество копий?

zhsv · September 5, 2021, 9:34pm

Предполагаю, что если найти winlog.computer_name и одно и то же время событий event.created то получим как раз время и количество печати с одного ПК.

Igor_Motov · September 7, 2021, 3:57pm

Значит, вы можете использовать эти два поля для того, чтобы получить task_id.

При получении первого события, вы можете создать map и сохранить там количество страниц, при получении второго события вы можете умножить сохраненное количество страниц на количество копий, как показано в первом примере, только вместо обновления map в промежуточных событиях, вы ее обновите в первом событии.

Topic		Replies	Views
Count impressions with Winlogbeat Elasticsearch	1	268	August 5, 2021
Парсинг поля “message” windows print Вопросы на русском языке	5	924	September 24, 2021
Математика и агрегация в конфиге Logstash Вопросы на русском языке	3	723	March 27, 2019
Kibana Scripted Field On Aggregated Value Kibana	2	535	August 25, 2017
Simple multiplication on Count result Kibana	4	981	September 26, 2018

Умножить два поля

Related topics