Windowsログのパースについて

以下のログ(windowsログの抜粋)を、logstashのKVフィルターを使用し、コロン区切りでフィールド名と値に分けてElasticsearchに取り込みたいです。

Subject:
	Security ID:		S-1-5-18
	Account Name:		XXXXX
	Account Domain:		XXXXX
	Logon ID:		0x3E7

Target Account:
	Security ID:		S-1-0-0
	Account Name:		XXXXX
	Account Domain:		XXXXX
	Logon ID:		0x3E7

confの内容として、以下を想定しています。(抜粋)

kv{
source => "message"
value_split => ":"
field_split => "\n"
}

ただ、こうすると、各々の項目名が重複してしまうため、「Subject.Security ID」「Target Account.Security ID」のような形でフィールド名をつけたいのですが、良い定義方法があればご教示頂けないでしょうか

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.