При использовании throttle filter некоторые события получают тег «throttled», а другие нет.
следуют содержимому из файла conf throttle:
filter {
throttle {
before_count => -1
after_count => 1
period => "86400" # 1 day
max_age => 172800 # 2 days
add_tag => [ "throttled" ]
key => "%{_id}%{message}"
}
}
Пример:
Я отправляю следующие 4 журнала событий:
{
"@timestamp": "2020-02-06T13:15:39.691Z",
"_id": "10b75bn7",
"message": "Security Policy 'Filebeat_LAN' was Enable by 'admin' from '192.168.234.9' using 'GUI'"
}
{
"@timestamp": "2020-02-06T13:15:44.163Z",
"_id": "10b75bn7",
"message": "Security Policy 'Filebeat_LAN' was Disable by 'admin' from '192.168.234.9' using 'GUI'"
}
{
"@timestamp": "2020-02-06T13:15:48.499Z",
"_id": "10b75bn7",
"message": "Security Policy 'Filebeat_LAN' was Enable by 'admin' from '192.168.234.9' using 'GUI'"
}
{
"@timestamp": "2020-02-06T13:15:52.879Z",
"_id": "10b75bn7",
"message": "Security Policy 'Filebeat_LAN' was Disable by 'admin' from '192.168.234.9' using 'GUI'"
}
после фильтра я сбрасываю все события с тегом «удушенный». Проблема заключается в том, что только второе событие журнала «Отключить» получает тег «удушение», таким образом, второй журнал «Включить» проходит через фильтр.