Question

У меня есть экземпляр Okta, из которого я получаю системные журналы, используя плагин logsta sh -input-okta_system_log для Elasti c Logsta sh.

Плагин работает просто отлично. Я хочу перевести журналы в Elasti c Common Schema , используя конфигурацию конвейера Logsta sh. Я могу это сделать, но, честно говоря, это такое сложное отображение задач, изменение, переименование полей.

Теперь мне интересно, кто-нибудь делал это раньше и готов поделиться своими фильтрами?

Я не уверен на 100%, если это идет вразрез с духом StackOverflow, с которым, я уверен, у многих возникнут проблемы.

Я начал работать над этим, если это не то, что кто-то имеет сделано, прежде чем я опубликую свое решение в качестве ответа для людей, которые ищут то же самое в будущем.

Я не нашел ничего, ищущего Inte rnet. Будем рады услышать от кого-то, кто уже сделал это.

filter {
  mutate {
    rename =>  {"displayMessage" => "message"}
    .
    .
    .

  }
}

Bren · Answer 1 · 15 апреля 2020

Для всех, кто заинтересован, Elasti c выпускает новые модули Filebeat через несколько недель, включая один для Okta, который читает системные журналы Okta через API и выполняет сопоставление с ECS.

Это будет что я буду использовать.

Найти детали в документах, которые еще должны быть выпущены: https://www.elastic.co/guide/en/beats/filebeat/master/filebeat-module-okta.html

Как перевести записи системного журнала Okta в Elasti c Common Schema версии 1.5 с использованием конфигурации конвейера logsta sh

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как перевести записи системного журнала Okta в Elasti c Common Schema версии 1.5 с использованием конфигурации конвейера logsta sh

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы