Добрый день, досталась мне в управление настроенная система, но не могу разобраться как изменить выгрузку. Выгружается в arcsight :
2022-07-04T12:50:30.046Z {name=TST-FT13} Jul 4 15:50:29 TST-FT13 sshd[1872]: Accepted keyboard-interactive/pam for root from 192.168.. port 58293 ssh2
просят убрать выделенное, пробовал добавить remove_field в фильтры никаких изменений, вот кусок аутпута который выгружает эту строчку
udp {
id => "arcsight_line"
host => "192.168.*.*"
port => 714
codec => "line"
}