Discuss the Elastic Stack

Windowsログのパースについて

Elastic In Your Native Tongue 日本語による質問・議論はこちら

t-nakata (NAKATA) October 28, 2021, 6:58am 1

以下のログ(windowsログの抜粋)を、logstashのKVフィルターを使用し、コロン区切りでフィールド名と値に分けてElasticsearchに取り込みたいです。

Subject:
	Security ID:		S-1-5-18
	Account Name:		XXXXX
	Account Domain:		XXXXX
	Logon ID:		0x3E7

Target Account:
	Security ID:		S-1-0-0
	Account Name:		XXXXX
	Account Domain:		XXXXX
	Logon ID:		0x3E7

confの内容として、以下を想定しています。（抜粋）

kv{
source => "message"
value_split => ":"
field_split => "\n"
}

ただ、こうすると、各々の項目名が重複してしまうため、「Subject.Security ID」「Target Account.Security ID」のような形でフィールド名をつけたいのですが、良い定義方法があればご教示頂けないでしょうか

system (system) Closed November 25, 2021, 6:59am 2

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views	Activity
Windowsアプリケーションログをlogstashで解析する方法日本語による質問・議論はこちら	1	5134	August 10, 2021
4624 log stoms Logstash elastic-stack-monitoring	11	2157	October 11, 2019
Elasticsearch内のデータの結合について日本語による質問・議論はこちら	8	6998	May 21, 2019
コピーしたフィールドから〇文字抜き出す方法 Logstash	3	873	July 10, 2019
Logstashでのログ取込で前半部分が欠損する日本語による質問・議論はこちら	1	874	January 20, 2020

© 2020. All Rights Reserved - Elasticsearch

Elasticsearch is a trademark of Elasticsearch BV, registered in the U.S. and in other countries
Trademarks
Terms
Privacy
Brand
Code of Conduct

Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.