Умножить два поля

zhsv · September 2, 2021, 7:26am

В ELK отправляются события печати windows (код 307 и 805) в одном количество распечатанных страниц во втором количество копий. Необходимо умножить эти значения, чтобы получить сумму распечатанных страниц.
winlog.user_data.Param8 - 2 - распечатал две страницы

_id  Mlt5o3sBfG5S8iaV_QFW
_index  win_print-logs-2021.09.01
_score  1
_type  _doc
@timestamp  Sep 2, 2021 @ 09:28:01.594
@version  1
agent.hostname  MS-307
event.created  Sep 2, 2021 @ 09:28:03.301
tags  win_print, win_print, beats_input_raw_event, _grokparsefailure
winlog.computer_name  MS-307-2.AAA.RT.LOCAL
winlog.user_data.Param5  WF-M5690 Series(Сеть) (Копировать 1)
winlog.user_data.Param8   2

Вот количество копий winlog.user_data.Copies 1

_id MVt5o3sBfG5S8iaV_QFW
_index  win_print-logs-2021.09.01
_score 1
_type  _doc
@timestamp  Sep 2, 2021 @ 09:28:01.594
@version  1
agent.hostname  MS-307-2
event.created  Sep 2, 2021 @ 09:28:03.301
tags  win_print, win_print, beats_input_raw_event, _grokparsefailure
winlog.computer_name  MS-307.AAA.RT.LOCAL
winlog.user_data.Copies  1

Как можно умножить поля winlog.user_data.Copies и winlog.user_data.Param8 чтобы в отчете по имени ПК или пользователю видеть реальное число распечатанных страниц?

Igor_Motov · September 2, 2021, 5:13pm

zhsv · September 2, 2021, 9:29pm

Почитал, но не понял.
п.с. только пару недель как начал работать с ELK.

Igor_Motov · September 2, 2021, 9:47pm

Какую часть?

zhsv · September 3, 2021, 12:27am

Я так понимаю, что там речь идет об агрегировании событий одной и той же задачи.
К меня два разных события журнала виндовс.

Igor_Motov · September 3, 2021, 2:41pm

То есть вы не знаете какая запись про количество страниц относиться к какой записи про количество копий?

zhsv · September 5, 2021, 9:34pm

Предполагаю, что если найти winlog.computer_name и одно и то же время событий event.created то получим как раз время и количество печати с одного ПК.

Igor_Motov · September 7, 2021, 3:57pm

Значит, вы можете использовать эти два поля для того, чтобы получить task_id.

При получении первого события, вы можете создать map и сохранить там количество страниц, при получении второго события вы можете умножить сохраненное количество страниц на количество копий, как показано в первом примере, только вместо обновления map в промежуточных событиях, вы ее обновите в первом событии.

system · October 5, 2021, 3:57pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Парсинг поля “message” windows print Вопросы на русском языке	5	865	September 24, 2021
Выгрузить Event журнал Windows Вопросы на русском языке	3	1429	November 22, 2017
Группировка по полям, значение которых одинаково, но неизвестно Beats winlogbeat	1	430	February 10, 2020
Парсинг логов. Поиск ошибок системы или приложений в логах windows Вопросы на русском языке	3	1222	March 26, 2020
Сжатие старых логов Вопросы на русском языке	11	1359	April 6, 2022

Умножить два поля

Related topics